Бужарово watchdog v2: только публичный канал, NetBird вынесен из alert level

NetBird daemon на Server1C (Windows) регулярно flap-ает — известная проблема.
Watchdog v2 решает по level только по ping public + RDP 3389. NetBird-уровень
логируется в state.json для информации, но не порождает алерты. Параллельно:
primary model openclaw переключен с Opus 4.7 (Max-биллинг закончился) на
Sonnet 4.5 free (Kiro), Opus оставлен в fallbacks.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

audit/2026-05-03-creds-drift.md

@@ -0,0 +1,47 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-05-03
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **20**
+- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
+| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
+| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
+| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/2026-05-03-dns-drift.md

@@ -0,0 +1,81 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-05-03
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **22**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/2026-05-03-drift.md

@@ -0,0 +1,70 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-05-03
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **38**
+- Упомянуто в inventory: **38**
+- В обоих: 36 / только в live: 2 / отсутствуют в live: 0
+- Известны как удалённые: 2 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 128 | LXC | running | profi-parser |
+| 131 | VM | running | ubuntu |
+
+## ✓ Удалённые хосты (задокументированы): 133, 135
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | stopped | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | stopped | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | running | profi-parser |
+| 129 | VM | running | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | running | ubuntu |
+| 132 | LXC | running | code-server |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | stopped | vpn-proxy |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/2026-05-03-health.md

@@ -0,0 +1,155 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-health.py
+score: 458
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-05-03
+
+**Score (меньше = лучше): `458`**
+Проверено файлов: 327
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 7 | 10 | 70 |
+| broken_paths | 20 | 10 | 200 |
+| missing_frontmatter | 17 | 3 | 51 |
+| orphan_files | 38 | 2 | 76 |
+| undated_todos | 36 | 1 | 36 |
+| duplicate_basenames | 5 | 5 | 25 |
+| **ИТОГО** | | | **458** |
+
+## Битые wikilinks
+
+| Откуда | `[[таргет]]` |
+|---|---|
+| `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
+| `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md` | `[[../snippets/clients/]]` |
+| `decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md` | `[[../claude-memory/podkop]]` |
+| `decisions/2026-04-29-rustdesk-client-deployment-package.md` | `[[../snippets/clients/]]` |
+| `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
+| `projects/dttb/rustdesk.md` | `[[../../../knowledge-base/feedback_lxc_loadavg]]` |
+| `snippets/clients/yaroslav-amnezia-setup.md` | `[[feedback_finland_security]]` |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
+| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
+| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
+| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
+| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
+| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
+| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
+| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
+| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
+| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
+
+## Без frontmatter (17)
+
+- `projects/dttb/znamenskoye-log.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (38)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md`
+- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
+- `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
+- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
+- `projects/niikn/credentials.md`
+- `projects/niikn/kripto-arm.md`
+- `projects/niikn/domofon.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/otchet-yuri-2026-04.md`
+- `projects/mmfb/mikrotik.md`
+- `projects/zelenograd/README.md`
+- `snippets/happ-routing-roscomvpn.md`
+- `snippets/invoice-template.md`
+- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
+- `claude-memory/cliproxy_code_server.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux-topology.md`
+- `claude-memory/benelux.md`
+- `claude-memory/znamenskoye-cameras.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/niikn-vpn-status.md`
+- `claude-memory/znamenskoye-ohothozyistvo.md`
+- `claude-memory/znamenskoye-network.md`
+- `claude-memory/niikn-nextcloud-incident.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/feedback_dns_fakeip.md`
+- ... +8 ещё
+
+## TODO без даты (36 шт в 5 файлах)
+
+- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
+- `templates/vpn-client.md` — 7 шт
+- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
+- `projects/dttb/vpn-clients.md` — 5 шт
+- `claude-memory/mas-niikn.md` — 5 шт
+
+## Дубликаты имён (5)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/niikn/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `credentials.md`:
+  - `projects/dttb/credentials.md`
+  - `projects/niikn/credentials.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/2026-05-03-npm-drift.md

@@ -0,0 +1,62 @@
+---
+date: 2026-05-03
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-05-03
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **22**
+- В KB: **20**
+- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #14 `remot.dttb.ru`
+- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/2026-05-03-proposed.md

@@ -0,0 +1,13 @@
+---
+date: 2026-05-03
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-05-03
+
+Сгенерировано Claude Opus на основе [[2026-05-03-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+

audit/2026-05-06-objects-audit.md

@@ -0,0 +1,37 @@
+---
+date: 2026-05-06
+type: audit
+source: scripts/kb-objects-audit.py
+tags: [audit, objects, frontmatter, links]
+score: 6
+---
+
+# KB objects audit — 2026-05-06
+
+**Score (меньше = лучше): `6`**
+
+- Проектов с frontmatter: **12/12** (0 проблем)
+- NetBird online-пиров без проектной карточки: **3**
+- Битых wiki-ссылок `[[...]]`: **0**
+
+## Frontmatter в projects/
+
+✅ все проекты имеют валидный frontmatter
+
+## Online netbird-пиры без проектной карточки
+
+Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице. 
+Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
+
+Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец), 
+либо добавить имя пира как полную строку в `aliases` подходящего проекта.
+
+| NetBird-имя | IP | OS | Город |
+|---|---|---|---|
+| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
+| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
+| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
+
+## Битые wiki-ссылки
+
+✅ битых ссылок не найдено

audit/archive/2026-04-18-health.md

@@ -0,0 +1,55 @@
+---
+date: 2026-04-18
+type: audit
+source: kb-health.py
+score: 45
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-04-18
+
+**Score (меньше = лучше): `45`**
+Проверено файлов: 159
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 0 | 10 | 0 |
+| broken_paths | 3 | 10 | 30 |
+| missing_frontmatter | 0 | 3 | 0 |
+| orphan_files | 0 | 2 | 0 |
+| undated_todos | 0 | 1 | 0 |
+| duplicate_basenames | 3 | 5 | 15 |
+| **ИТОГО** | | | **45** |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `decisions/2026-04-14-niikn-openwrt-awg-fix.md` | `/root/.claude/knowledge-base/projects/niikn/openwrt-bypass.md` |
+| `decisions/2026-04-14-niikn-openwrt-awg-fix.md` | `/root/.claude/projects/-root/memory/niikn-vpn-status.md` |
+| `claude-memory/niikn-vpn-status.md` | `/root/.claude/knowledge-base/projects/niikn/openwrt-bypass.md` |
+
+## Дубликаты имён (3)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/niikn/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/archive/2026-04-19-creds-drift.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-19
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-04-19
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **12**
+- ✓ Reachable: 12 / ⚠ Questionable: 0 / ❌ Unreachable: 0
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/archive/2026-04-19-dns-drift.md

@@ -0,0 +1,81 @@
+---
+date: 2026-04-19
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-04-19
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **22**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/archive/2026-04-19-drift.md

@@ -0,0 +1,63 @@
+---
+date: 2026-04-19
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-04-19
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **36**
+- Упомянуто в inventory: **39**
+- В обоих: 36 / только в live: 0 / отсутствуют в live: 0
+- Известны как удалённые: 3 (в `## 🗑️ Удалённые`)
+
+## ✓ Удалённые хосты (задокументированы): 129, 133, 135
+
+## ✓ Inventory полностью совпадает с живой инфраструктурой
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | stopped | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | stopped | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 130 | VM | stopped | Zima-OS |
+| 132 | LXC | running | code-server |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | running | vpn-proxy |
+| 139 | LXC | running | yaroslav-assistant |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/archive/2026-04-19-health.md

@@ -1,15 +1,15 @@
 ---
-date: 2026-04-18
+date: 2026-04-19
 type: audit
 source: kb-health.py
 score: 15
 tags: [audit, health, metric]
 ---
 
-# KB health — 2026-04-18
+# KB health — 2026-04-19
 
 **Score (меньше = лучше): `15`**
-Проверено файлов: 159
+Проверено файлов: 194
 
 ## Разбивка
 

audit/archive/2026-04-19-npm-drift.md

@@ -0,0 +1,59 @@
+---
+date: 2026-04-19
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-04-19
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **22**
+- В KB: **20**
+- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 2
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.43:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/archive/2026-04-19-proposed.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-19
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-04-19
+
+Сгенерировано Claude Opus на основе [[2026-04-19-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+## Результат анализа
+
+### 1. Резюме
+
+**Drift отсутствует.** Отчёт аудита явно говорит: «✓ Inventory полностью совпадает с живой инфраструктурой». Все 36 живых гостей совпадают с inventory, 3 удалённых (129, 133, 135) задокументированы. Сводная таблица (15 VM, 21 LXC, 16 running, 20 stopped) точно соответствует живому списку.
+
+### 2. Конкретные правки
+
+**Нет правок.** Я проверил по пунктам:
+
+- Все VMID из live-списка присутствуют в inventory — **совпадает**
+- Все имена гостей — **совпадают**
+- Все статусы (running/stopped) — **совпадают**
+- Все типы (VM/LXC) — **совпадают**
+- Удалённые 129, 133, 135 — **задокументированы в секции «Удалённые»**
+- Сводная таблица (15 VM / 21 LXC / 36 total / 16 running / 20 stopped) — **точна**
+
+### 3. Предупреждения
+
+- **Единственное замечание в самом inventory** (не из drift-отчёта): у LXC 116 (rustdeskserver) есть пометка «в NPM записан 10.0.0.43 — устарело, проверить» — это pre-existing заметка, не связанная с drift, но стоит когда-нибудь проверить и закрыть.
+- Дата `date:` в frontmatter inventory (`2026-02-26`) отстаёт от реального последнего обновления (`2026-04-17` в тексте). Можно синхронизировать, но это косметика, не drift.
+
+**Вывод: inventory актуален, правки не требуются.**

audit/archive/2026-04-26-creds-drift.md

@@ -0,0 +1,41 @@
+---
+date: 2026-04-26
+type: audit
+source: kb-audit-creds.py
+tags: [audit, creds, reachability]
+---
+
+# Credentials reachability — 2026-04-26
+
+Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
+Проверяется только reachability (HTTP status), не реальный логин.
+
+- Всего URL: **14**
+- ✓ Reachable: 12 / ⚠ Questionable: 2 / ❌ Unreachable: 0
+
+## ⚠ Нестандартный ответ
+
+| URL | Status | Detail |
+|---|---|---|
+| `https://api.netbird.io` | 404 | Not Found |
+| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
+
+## ✓ Все ответили нормально
+
+| URL | Status | Категория |
+|---|---|---|
+| `https://10.0.0.250:8006` | 200 | ✓ reachable |
+| `https://pve.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.189:3000` | 200 | ✓ reachable |
+| `http://git.dttb.ru` | 200 | ✓ reachable |
+| `http://10.0.0.195:81` | 200 | ✓ reachable |
+| `https://npm.dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru` | 200 | ✓ reachable |
+| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
+| `https://vps.sweb.ru` | 200 | ✓ reachable |
+| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
+| `https://mail.niikn.com` | 200 | ✓ reachable |
+| `http://192.168.1.22:81` | 200 | ✓ reachable |
+
+---
+*Автоматически через `scripts/kb-audit-creds.py`.*

audit/archive/2026-04-26-dns-drift.md

@@ -0,0 +1,81 @@
+---
+date: 2026-04-26
+type: audit
+source: kb-audit-dns.py
+tags: [audit, dns]
+---
+
+# DNS resolve audit — 2026-04-26
+
+Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
+
+- Всего доменов: **22**
+- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
+
+## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
+
+| Домен | Локальный IP |
+|---|---|
+| `itilegent.ru` | (тоже нет) |
+| `vpn.dttb.ru` | 10.0.0.195 |
+
+## ⚠ Split-horizon — разные IP снаружи и внутри
+
+Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
+
+| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+## ⚠ Пустой локальный резолв (роутер не знает)
+
+- `itilegent.ru` (публичный: -)
+
+## Полная таблица резолва
+
+| Домен | 8.8.8.8 | 10.0.0.1 |
+|---|---|---|
+| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `itilegent.ru` | — | — |
+| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
+| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+| `vpn.dttb.ru` | — | 10.0.0.195 |
+| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
+
+---
+*Автоматически через `scripts/kb-audit-dns.py`.*

audit/archive/2026-04-26-drift.md

@@ -0,0 +1,71 @@
+---
+date: 2026-04-26
+type: audit
+source: kb-audit.py
+tags: [audit, drift, infrastructure]
+---
+
+# KB drift audit — 2026-04-26
+
+Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
+
+- Живых гостей Proxmox: **39**
+- Упомянуто в inventory: **39**
+- В обоих: 37 / только в live: 2 / отсутствуют в live: 0
+- Известны как удалённые: 2 (в `## 🗑️ Удалённые`)
+
+## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 128 | LXC | running | profi-parser |
+| 131 | VM | running | ubuntu |
+
+## ✓ Удалённые хосты (задокументированы): 133, 135
+
+## Полный живой список
+
+| VMID | Type | Status | Name |
+|---|---|---|---|
+| 100 | VM | stopped | NV |
+| 101 | LXC | stopped | n8n |
+| 102 | LXC | stopped | SMB |
+| 103 | LXC | running | NPM |
+| 104 | VM | stopped | Agent-DVR |
+| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
+| 106 | VM | running | pbs |
+| 107 | VM | running | Mailcow |
+| 108 | LXC | stopped | zabbix |
+| 109 | VM | stopped | itilelegent |
+| 110 | VM | stopped | Cloud |
+| 111 | VM | running | WinServer2025 |
+| 112 | VM | stopped | cloud-dttb |
+| 113 | LXC | running | VaultWarden |
+| 114 | LXC | running | LinkWarden |
+| 115 | LXC | running | watchyourlan |
+| 116 | LXC | running | rustdeskserver |
+| 117 | LXC | stopped | motioneye |
+| 118 | LXC | stopped | plex |
+| 119 | LXC | stopped | myspeed |
+| 120 | VM | stopped | 7 |
+| 121 | LXC | stopped | docker-windows |
+| 122 | LXC | stopped | qbittorrent |
+| 123 | LXC | stopped | proxmox-local |
+| 124 | VM | stopped | Matrix |
+| 125 | VM | stopped | datacentr |
+| 126 | LXC | stopped | debian |
+| 127 | VM | running | haos-17.0 |
+| 128 | LXC | running | profi-parser |
+| 129 | VM | running | profi-parser-vm |
+| 130 | VM | stopped | Zima-OS |
+| 131 | VM | running | ubuntu |
+| 132 | LXC | running | code-server |
+| 134 | LXC | running | ZnamSecurityBot |
+| 136 | LXC | running | gitea |
+| 137 | LXC | running | openclaw |
+| 138 | LXC | running | vpn-proxy |
+| 139 | LXC | running | yaroslav-assistant |
+| 250 | VM | running | Nextcloud-AIO |
+
+---
+*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

audit/archive/2026-04-26-health.md

@@ -0,0 +1,122 @@
+---
+date: 2026-04-26
+type: audit
+source: kb-health.py
+score: 221
+tags: [audit, health, metric]
+---
+
+# KB health — 2026-04-26
+
+**Score (меньше = лучше): `221`**
+Проверено файлов: 501
+
+## Разбивка
+
+| Категория | Кол-во | Вес | Штраф |
+|---|---:|---:|---:|
+| broken_wikilinks | 0 | 10 | 0 |
+| broken_paths | 9 | 10 | 90 |
+| missing_frontmatter | 14 | 3 | 42 |
+| orphan_files | 32 | 2 | 64 |
+| undated_todos | 5 | 1 | 5 |
+| duplicate_basenames | 4 | 5 | 20 |
+| **ИТОГО** | | | **221** |
+
+## Битые relative-пути
+
+| Откуда | Путь |
+|---|---|
+| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
+| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
+| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
+| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
+| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
+| `notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/openwrt-bypass.md` |
+| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md` |
+| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `claude-memory/znamenskoye-ohothozyistvo.md` |
+
+## Без frontmatter (14)
+
+- `projects/dttb/znamenskoye-log.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- `claude-memory/MEMORY.md`
+
+## Orphan — без бэклинков (32)
+
+_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
+
+- `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md`
+- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
+- `decisions/2026-04-24-finland-vps-malware-cleanup.md`
+- `projects/dttb/vps-swtest.md`
+- `projects/niikn/domofon.md`
+- `projects/mmfb/yuri-vitalievich.md`
+- `projects/mmfb/mikrotik.md`
+- `projects/zelenograd/README.md`
+- `snippets/happ-vpn-client-instruction.md`
+- `snippets/invoice-template.md`
+- `claude-memory/cliproxy_code_server.md`
+- `claude-memory/servicedesk-dttb.md`
+- `claude-memory/benelux-topology.md`
+- `claude-memory/benelux.md`
+- `claude-memory/znamenskoye-cameras.md`
+- `claude-memory/nextcloud-dttb.md`
+- `claude-memory/nvr-fix.md`
+- `claude-memory/niikn-vpn-status.md`
+- `claude-memory/znamenskoye-ohothozyistvo.md`
+- `claude-memory/znamenskoye-network.md`
+- `claude-memory/niikn-nextcloud-incident.md`
+- `claude-memory/videonablyudenie.md`
+- `claude-memory/znamenskoe-home.md`
+- `claude-memory/feedback_dns_fakeip.md`
+- `claude-memory/niikn-nextcloud.md`
+- `claude-memory/feedback_finland_vps.md`
+- `claude-memory/whatsapp-proxy.md`
+- `claude-memory/gitea-dttb.md`
+- `claude-memory/krasnogorsk.md`
+- `claude-memory/mas-niikn.md`
+- ... +2 ещё
+
+## TODO без даты (5 шт в 1 файлах)
+
+- `claude-memory/mas-niikn.md` — 5 шт
+
+## Дубликаты имён (4)
+
+- `README.md`:
+  - `README.md`
+  - `decisions/README.md`
+  - `notes/README.md`
+  - `projects/dttb/README.md`
+  - `projects/glavtorg/README.md`
+  - `projects/niikn/README.md`
+  - `projects/krasnogorsk/README.md`
+  - `projects/zelenograd/README.md`
+  - `projects/dttb/nextcloud-talk-bot/README.md`
+  - `snippets/README.md`
+  - `scripts/README.md`
+- `nextcloud.md`:
+  - `projects/nextcloud.md`
+  - `projects/dttb/nextcloud.md`
+- `proxmox-inventory.md`:
+  - `projects/dttb/proxmox-inventory.md`
+  - `projects/mmfb/proxmox-inventory.md`
+- `mikrotik.md`:
+  - `projects/niikn/mikrotik.md`
+  - `projects/mmfb/mikrotik.md`
+
+---
+*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

audit/archive/2026-04-26-npm-drift.md

@@ -0,0 +1,59 @@
+---
+date: 2026-04-26
+type: audit
+source: kb-audit-npm.py
+tags: [audit, drift, npm]
+---
+
+# NPM drift audit — 2026-04-26
+
+Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
+
+- Живых proxy hosts: **22**
+- В KB: **20**
+- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 2
+
+## ⚠ Новые hosts (в NPM есть, в KB нет)
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+
+## 🔄 Изменения (ID совпадает, но что-то сменилось)
+
+### #12 `bitrix24.dttb.ru`
+- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
+
+### #22 `git.dttb.ru`
+- ssl: KB=✗ → live=✓
+
+## Полный живой список
+
+| ID | Домены | Backend | SSL | Enabled |
+|---|---|---|---|---|
+| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
+| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
+| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
+| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
+| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
+| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
+| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
+| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
+| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
+| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
+| 14 | `remot.dttb.ru` | `10.0.0.43:21114` | ✓ | on |
+| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
+| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
+| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
+| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
+| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
+| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
+| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
+| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
+| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
+| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
+
+---
+*Автоматически через `scripts/kb-audit-npm.py`.*

audit/archive/2026-04-26-proposed.md

@@ -0,0 +1,101 @@
+---
+date: 2026-04-26
+type: audit-proposed
+source: kb-audit-propose.sh (Opus 4.7)
+tags: [audit, proposed, inventory]
+---
+
+# Предложенные правки inventory — 2026-04-26
+
+Сгенерировано Claude Opus на основе [[2026-04-26-drift|drift-отчёта]].
+**Правки НЕ применены.** Ревью — ты. Apply — вручную.
+
+Анализирую drift-отчёт и inventory — всё данные уже перед глазами, агенты не нужны.
+
+---
+
+## 1. Резюме
+
+В Proxmox появились 2 новых гостя (**LXC 128 profi-parser**, **VM 131 ubuntu**), а **VM 129** — живая и running под именем **profi-parser-vm**, хотя в inventory записана как удалённая «Clawdbot». Итого inventory нужно обновить с 36 до 39 гостей.
+
+---
+
+## 2. Конкретные правки
+
+### 2.1. Сводка — обновить цифры
+
+```diff
+ | Тип | Всего | Запущено | Остановлено |
+ |-----|-------|----------|-------------|
+-| QEMU VM | 15 | 5 | 10 |
+-| LXC | 21 | 11 | 10 |
+-| **Итого** | **36** | **16** | **20** |
++| QEMU VM | 17 | 7 | 10 |
++| LXC | 22 | 12 | 10 |
++| **Итого** | **39** | **19** | **20** |
+```
+
+### 2.2. Добавить VM 129 — profi-parser-vm в «Запущенные VM»
+
+Вставить после блока VM 127 (haos-17.0):
+
+```markdown
+### VM 129 — profi-parser-vm
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| Назначение | Profi-parser VM (детали уточнить) |
+```
+
+### 2.3. Добавить VM 131 — ubuntu в «Запущенные VM»
+
+Вставить после блока VM 129:
+
+```markdown
+### VM 131 — ubuntu
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| Назначение | Ubuntu VM (детали уточнить) |
+```
+
+### 2.4. Добавить LXC 128 — profi-parser в «Запущенные LXC»
+
+Вставить перед блоком LXC 132 (code-server), чтобы VMID шли по порядку:
+
+```markdown
+### LXC 128 — profi-parser
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| Назначение | Profi-parser (детали уточнить) |
+```
+
+### 2.5. Удалить VM 129 из секции «Удалённые»
+
+```diff
+ ## 🗑️ Удалённые (история)
+
+ | VMID | Имя | Когда | Куда делось |
+ |------|-----|-------|-------------|
+-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) в `/root/backup-lxc129/`, IP 10.0.0.206 освобождён |
+ | 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
+ | 135 | whisper-bot | ~апрель 2026 | — |
+```
+
+### 2.6. Обновить дату в шапке
+
+```diff
+-> Последнее обновление: 2026-04-17 (обновлено из живого `pct list` / `qm list`)
++> Последнее обновление: 2026-04-26 (обновлено из живого `pct list` / `qm list`)
+```
+
+---
+
+## 3. Предупреждения
+
+- **VM 129**: в inventory была записана как удалённый «Clawdbot» (LXC), но в live это **VM** с именем **profi-parser-vm**. Скорее всего VMID 129 был переиспользован для нового гостя. Стоит проверить: а) действительно ли бэкап Clawdbot ещё лежит в `/root/backup-lxc129/`; б) IP 10.0.0.206 — он свободен или назначен profi-parser-vm? Историю Clawdbot можно оставить комментарием или убрать полностью.
+- **LXC 128, VM 131**: для них нет IP-адресов, ресурсов (CPU/RAM/диск) и назначения — нужно доуточнить через `pct config 128` / `qm config 131` и дозаполнить.
+- **LXC 128 + VM 129**: оба содержат «profi-parser» в имени — вероятно, связанные сервисы (парсер в LXC + VM). Стоит описать связь в назначении.
+
+Хочешь — могу сразу применить эти правки в файл.

audit/health-latest.json

@@ -1,13 +1,13 @@
 {
-  "date": "2026-04-18",
-  "score": 15,
+  "date": "2026-05-03",
+  "score": 458,
   "counts": {
-    "broken_wikilinks": 0,
-    "broken_paths": 0,
-    "missing_frontmatter": 0,
-    "orphan_files": 0,
-    "undated_todos": 0,
-    "duplicate_basenames": 3
+    "broken_wikilinks": 7,
+    "broken_paths": 20,
+    "missing_frontmatter": 17,
+    "orphan_files": 38,
+    "undated_todos": 36,
+    "duplicate_basenames": 5
   },
   "weights": {
     "broken_wikilinks": 10,
@@ -17,5 +17,5 @@
     "undated_todos": 1,
     "duplicate_basenames": 5
   },
-  "files_scanned": 159
+  "files_scanned": 327
 }

claude-memory/MEMORY.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory]
----
-
 ## Gitea git.dttb.ru → см. gitea-dttb.md
 - oleg / OL260380eg, LXC 136 (10.0.0.189)
 
@@ -303,30 +297,3 @@ tags: [memory]
 
 ## Правило: сохранение информации
 - MEMORY.md + Gitea knowledge-base (oleg/OL260380eg) + Nextcloud WebDAV infrastructure.md
-
-<!-- kb-auto-index -->
-## Записи памяти
-
-- [[claude-memory/benelux-topology]]
-- [[claude-memory/benelux]]
-- [[claude-memory/cliproxy_code_server]]
-- [[claude-memory/feedback_dns_fakeip]]
-- [[claude-memory/feedback_finland_vps]]
-- [[claude-memory/feedback_spaceweb_dns]]
-- [[claude-memory/gitea-dttb]]
-- [[claude-memory/krasnogorsk]]
-- [[claude-memory/mas-niikn]]
-- [[claude-memory/nextcloud-dttb]]
-- [[claude-memory/niikn-nextcloud-incident]]
-- [[claude-memory/niikn-nextcloud]]
-- [[claude-memory/niikn-vpn-status]]
-- [[claude-memory/nvr-fix]]
-- [[claude-memory/omniroute]]
-- [[claude-memory/project_direct_api_migration]]
-- [[claude-memory/servicedesk-dttb]]
-- [[claude-memory/videonablyudenie]]
-- [[claude-memory/whatsapp-proxy]]
-- [[claude-memory/znamenskoe-home]]
-- [[claude-memory/znamenskoye-cameras]]
-- [[claude-memory/znamenskoye-network]]
-- [[claude-memory/znamenskoye-ohothozyistvo]]

claude-memory/benelux.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-11
-type: reference
-tags: [memory]
----
-
 # Проект Бенелюкс — OpenWrt роутер
 
 ## Устройство

claude-memory/krasnogorsk.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory]
----
-
 # Проект Красногорск (Снегири)
 
 ## Топология

claude-memory/mas-niikn.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory]
----
-
 # MAS НИИКН — ОТКАЧЕН 2026-03-05
 
 ## Статус MAS: ОТКАЧЕН (snapshot rollback)
@@ -50,11 +44,11 @@ tags: [memory]
    - Нужно: либо модифицировать supervisord.conf (но rootfs read-only), либо обёртка-watchdog
 
 ### Что нужно сделать при возврате
-- [ ] Попросить пользователя перезагрузить страницы обоих клиентов и протестировать звонок (2026-04-18)
-- [ ] Если DTLS всё ещё падает — попробовать `dtls_mtu = 1200` в janus.jcfg (2026-04-18)
-- [ ] Решить проблему автоперезапуска Janus (watchdog или модификация /supervisord.conf в /tmp) (2026-04-18)
-- [ ] Проверить звонки LAN↔LAN, LAN↔сотовая, сотовая↔сотовая (2026-04-18)
-- [ ] Обновить /opt/talk-janus-patch.sh если нужно после тестов (2026-04-18)
+- [ ] Попросить пользователя перезагрузить страницы обоих клиентов и протестировать звонок
+- [ ] Если DTLS всё ещё падает — попробовать `dtls_mtu = 1200` в janus.jcfg
+- [ ] Решить проблему автоперезапуска Janus (watchdog или модификация /supervisord.conf в /tmp)
+- [ ] Проверить звонки LAN↔LAN, LAN↔сотовая, сотовая↔сотовая
+- [ ] Обновить /opt/talk-janus-patch.sh если нужно после тестов
 
 ## Исправление: Netbird VPN ломал внешний доступ к Talk
 - **Проблема**: Netbird VPN (wt0) перехватывал весь внешний трафик через таблицу маршрутизации `netbird`

claude-memory/nextcloud-dttb.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory, nextcloud]
----
-
 # Nextcloud AIO dttb.ru (VM 250, 10.0.0.230)
 
 ## Общее

claude-memory/niikn-nextcloud.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory, nextcloud]
----
-
 # Nextcloud НИИКН (niikn.com)
 
 ## Инфраструктура

claude-memory/nvr-fix.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-11
-type: reference
-tags: [memory]
----
-
 # NVR HiWatch DS-N316(D) Fix Progress
 
 ## Problem

claude-memory/servicedesk-dttb.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory]
----
-
 # Проект: ServiceDesk dttb
 Статус: ПЛАНИРОВАНИЕ (создан 2026-03-09)
 

claude-memory/videonablyudenie.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory, video]
----
-
 # Видеонаблюдение Знаменское — ключевая информация
 
 ## VPS для видеонаблюдения

claude-memory/znamenskoe-home.md

@@ -1,9 +1,3 @@
----
-date: 2026-03-09
-type: reference
-tags: [memory]
----
-
 # Знаменское Home — сетевая инфраструктура
 
 ## Статус: полный доступ (2026-03-10)

daily/2026-04-18.md

@@ -0,0 +1,84 @@
+---
+date: 2026-04-18
+type: daily
+tags: [daily, kb-improvements, summary]
+---
+
+# 2026-04-18
+
+## Итог дня — много сделано
+
+### Закрыто из вчерашнего плана
+- [x] **Fix B**: `.zshenv` unset 7 env-переменных от Claude Desktop → `claude` работает в Obsidian-terminal без 401
+- [x] **Консолидация auto-memory**: 14 → 12 файлов, openclaw-feedback смёржен в `project_openclaw_bot.md`, создан `feedback_env_cleanup.md` + `feedback_sync_architecture.md`
+- [x] **Audit расширен**: `kb-audit-npm.py`, `kb-audit-creds.py`, `kb-audit-dns.py` — в воскресном cron
+- [x] **KB health + level 4 agent-loop** (karpathy-style):
+  - `scripts/kb-health.py` — 6 категорий штрафов, JSON для сравнения
+  - `scripts/kb-agent-loop.sh` — Opus правит в ветке, auto-merge если score ниже
+  - **Первый прогон: 493 → 45** (−91%). Opus сам написал helper `kb-add-indexes.py`
+- [x] **iPhone Obsidian через iCloud**:
+  - vault скопирован в `~/Library/Mobile Documents/iCloud~md~obsidian/Documents/knowledge-base`
+  - `sync-icloud.sh` — rclone bisync local↔local (не падает в launchd)
+  - в Stop-hook: после sync.sh → sync-icloud.sh
+  - iPhone Obsidian видит vault в iCloud-разделе
+- [x] **Фото Mac → Nextcloud**: `osxphotos export` → 697 файлов (3.1 GB) в `~/Library/CloudStorage/Nextcloud-admin@dttb․ru/Photos/` с раскладкой `YYYY/YYYY-MM/`. File Provider аплодит на сервер в фоне.
+
+### Отложено на 2026-04-19
+См. [[2026-04-19]].
+
+## Инфраструктура — новые компоненты
+
+```
+~/.config/nextcloud-kb/
+├── sync.sh          ← rclone bisync WebDAV ↔ Nextcloud (ручной + Stop-hook)
+├── sync-icloud.sh   ← NEW rclone bisync local ↔ iCloud Obsidian
+└── session-saver.py ← сохраняет transcript в notes/claude/
+
+knowledge-base/scripts/
+├── kb-audit.py / kb-audit-apply.py / kb-audit-propose.sh  ← Proxmox inventory drift
+├── kb-audit-npm.py / kb-audit-creds.py / kb-audit-dns.py  ← NEW расширение
+├── kb-health.py     ← NEW метрика качества KB
+├── kb-agent-loop.sh ← NEW karpathy-style self-healing
+├── kb-add-indexes.py ← NEW написан Opus для решения orphan_files
+└── kb_audit_helpers.py  ← общие функции
+
+cron on code-server:
+  */5 * * * * kb-autosync.sh
+  0 6 * * 0   audit + apply + health + agent-loop + propose (одной цепочкой)
+```
+
+## Полная картина синхронизации сейчас
+
+```
+iPhone Obsidian (iCloud vault)          iPhone-Nextcloud-app (photos, files)
+      ↕ iCloud sync                            ↕ WebDAV
+      ↕                                         ↕
+~/Library/Mobile Documents/...           Nextcloud dttb.ru (VM 250)
+      ↕ sync-icloud.sh (Stop-hook)              ↕ macOS File Provider
+      ↕                                         ↕
+      ╚══════════════════════════════════════════╝
+                              ↕
+                ~/knowledge-base (Mac primary)
+                              ↕ git push/pull, obsidian-git autoPush
+                              ↕
+                Gitea git.dttb.ru (LXC 136)
+                              ↕
+              code-server LXC 132 (RW, cron */5)
+              openclaw LXC 137 (RO, cron */15)
+```
+
+## Метрики
+
+- KB health score: **45** (было утром 493)
+- Коммитов за день: ~25 (включая 2 от `kb-agent-loop`)
+- Файлов в vault: 169 md (с frontmatter: все)
+- Память Claude Code: 12 файлов (с 14)
+- Photos экспортировано: 697 файлов / 3.1 GB
+
+## Что работает автоматом теперь
+
+1. **Stop Claude-сессии** → save transcript → sync to Nextcloud WebDAV → sync to iCloud
+2. **Каждые 5 мин на code-server** → pull + auto-commit + push
+3. **Каждые 15 мин на openclaw** → pull (read-only, self-heal)
+4. **Каждые 5 мин Obsidian-git** → auto-commit + auto-push
+5. **Каждое воскресенье 06:00** → full audit chain + agent-loop self-healing

daily/2026-04-19.md

@@ -6,67 +6,82 @@ tags: [planning, kb-improvements]
 
 # 2026-04-19
 
-## Приоритеты дня — улучшения KB-системы
+## Вчера сделано за день
 
-Перенесено из вчерашней сессии (см. итоги в `notes/claude/2026-04-17-*-httpsgithub...md`).
+См. [[2026-04-18]] — 6 крупных пунктов закрыто:
+- Fix B env cleanup, консолидация auto-memory, расширение audit (NPM/Creds/DNS)
+- KB health metric + level 4 agent-loop (**score 493 → 45**, Opus сам написал helper)
+- iPhone Obsidian через iCloud, Mac-фото в Nextcloud (697 файлов)
 
-### 🔧 Блокер — ✅ сделано вечером 2026-04-18
-- [x] **Fix B:** unset host-managed auth-env в `~/.zshenv` (читается всеми zsh — login, non-login, interactive, non-interactive). Снимает: `CLAUDE_CODE_PROVIDER_MANAGED_BY_HOST`, `CLAUDE_INTERNAL_FC_OVERRIDES`, `CLAUDE_CODE_SDK_HAS_OAUTH_REFRESH`, `CLAUDE_CODE_ENTRYPOINT`, `CLAUDE_CODE_OAUTH_TOKEN` (протухший от host), `ANTHROPIC_API_KEY`, `ANTHROPIC_BASE_URL`. CLI теперь фолбэкается на Keychain со свежим токеном после `/login`.
-- [ ] Утром проверить: открыть Obsidian → Cmd+P → Integrated terminal → `claude` → без 401. (2026-04-19)
+## Приоритеты сегодня
 
-### 🎯 Топ-3 улучшения (порядок по ROI)
+### A. iPhone auto-upload фото в Nextcloud (5 мин)
+На iPhone → Nextcloud app → Настройки → Автозагрузка:
+1. Включить «Автоматически загружать фото» и «…видео»
+2. Каталог: `/Photos/iPhone-upload/`
+3. Только по Wi-Fi
+4. Включить «Загружать существующие»
 
-1. **Консолидация `claude-memory/MEMORY.md` через skill** ⭐ (~5 мин)
-   - Запустить `/consolidate-memory` — объединить дубликаты, убрать устаревшее, обновить индекс
-   - Эффект мгновенный: быстрее старт Claude-сессий, меньше токенов
-   - В cron раз в месяц
+Работает в фоне часы-сутки. После — можно освобождать iCloud.
 
-2. **Расширить audit на NPM + DNS + Credentials** (~час)
-   - Сейчас audit только для Proxmox VM/LXC (`proxmox-inventory.md`)
-   - Добавить проверки:
-     - NPM API → сверить с таблицей в `projects/dttb/npm-proxy-hosts.md`
-     - DNS A-записи Spaceweb → сверить с backend-IP в NPM
-     - Credentials — пинговать каждый URL, проверять по 401/403 не сменились ли пароли
-   - Тот же механизм что для inventory, но покрывает сеть и авторизации
+### B. Проверить что Mac-фото доехали на dttb.ru сервер
+Вчера File Provider начал upload 3.1 GB. Проверить:
+```bash
+curl -sku admin:'1qaz!QAZ' -X PROPFIND \
+  "https://dttb.ru/remote.php/dav/files/admin/Photos/" -H "Depth: 1" \
+  | python3 -c "import sys,xml.etree.ElementTree as ET; \
+    r=ET.fromstring(sys.stdin.read()); \
+    print(len(r.findall('{DAV:}response')), 'objects')"
+```
 
-3. **KB health-метрика + уровень 4 (karpathy-style agent loop)** (~день) ⭐⭐
-   - Написать `scripts/kb-health.py`:
-     - битые `[[wikilinks]]`
-     - файлы без frontmatter
-     - TODO без дедлайнов
-     - orphan-файлы (нет бэклинков)
-     - средний возраст decisions/
-   - Уровень 4: `scripts/kb-agent-loop.sh`
-     - ветка `auto-fix/DATE`
-     - Opus читает KB + health-метрику
-     - вносит правки → прогон `kb-health.py`
-     - score лучше → merge, хуже → reset
-   - **Цель:** KB не деградирует со временем, сама залечивает drift
+### C. Второй прогон agent-loop (10 мин) — эксперимент
+Запустить вручную — посмотреть уйдёт ли score с 45 ниже (там остались duplicate_basenames=3 и broken_paths=3):
+```bash
+ssh root@10.0.0.250 'pct exec 132 -- bash -c "bash /root/knowledge-base/scripts/kb-agent-loop.sh"'
+tail /var/log/kb-agent-loop.log
+```
 
-### 🔄 Дополнительные (когда созреет)
+## Большие задачи на будущее (не сегодня)
 
-- [ ] **Семантический поиск для openclaw-бота (RAG)** — эмбеддинги md-файлов → Telegram-поиск "найди всё про VPN в марте" за секунду (~день) (2026-04-19)
-- [ ] **Интерактивный iPhone Obsidian через iCloud Drive** — symlink vault в iCloud, iPhone подхватывает (~30 мин) (2026-04-19)
-- [ ] **Тест восстановления из PBS** — диз-симуляция потери LXC 136 gitea / VM 250 Nextcloud (~час) (2026-04-19)
-- [ ] **Openclaw: реальная делегация** — или второй бот под opus, или regex-hook в message-handler (сложно, нужны исходники openclaw) (2026-04-19)
+### RAG для openclaw-бота (~день) ⭐⭐
+- Эмбеддинги .md файлов через OmniRoute (бесплатно)
+- SQLite/Qdrant локально на openclaw
+- `post-commit` git hook обновляет эмбеддинги при изменениях
+- Бот в Telegram делает vector search → топ-5 файлов в контекст Opus
+- **Цель**: «найди что я писал про VPN в марте» → за секунду релевантный ответ
+
+### Тест восстановления из PBS (~час)
+- Потерять симулированно LXC 136 (gitea) → сколько минут до работы?
+- Потерять VM 250 (Nextcloud) → то же
+- Задокументировать runbook в `decisions/`
+- **Цель**: узнать проблему с бэкапами сейчас, а не когда что-то реально потеряно
+
+### Openclaw: реальная делегация (~1-2 часа)
+Два пути:
+- **Второй Telegram-бот** с профилем opus-only через CLIProxy — новая переменная окружения
+- **Regex-hook в message-handler** — сложно, openclaw минифицирован, нужен обход
+
+### Auto-apply для NPM drift (~30 мин)
+По аналогии с `kb-audit-apply.py` (Proxmox): новые proxy hosts автоматом добавлять в `npm-proxy-hosts.md`.
+
+### Session-saver v2 (~час)
+Парсить transcript Claude и флажить:
+- Упомянутые IP/хосты, которых нет в inventory
+- TODO появившиеся в диалоге
+- Команды, которые стоит в `snippets/`
 
 ## Инфраструктура
 
-Без изменений. Вчерашняя сессия добавила:
-- scripts/kb-audit.py, kb-audit-apply.py, kb-audit-propose.sh
-- Stop-hook + session-saver для Claude-сессий
-- obsidian-terminal + autoPush в obsidian-git
-- Cron на code-server: воскр 06:00 (audit → apply → propose)
-- Обновлён proxmox-inventory.md (21 LXC, 15 VM)
+Без изменений после вчера. Вся автоматика работает:
+- Stop-hook: session-saver → sync (Nextcloud) → sync-icloud
+- code-server cron */5: auto-sync git
+- openclaw cron */15: RO pull (self-heal)
+- obsidian-git 5 мин autoPush
+- воскр 06:00: full audit + agent-loop
 
 ## Заметки
 
-Сравнение с Karpathy/autoresearch в `notes/claude/2026-04-17-*`. Их идея: агент правит `train.py`, метрика `val_bpb` (меньше — лучше), 100 экспериментов за ночь. Наш аналог — `kb-health.py` как метрика, `auto-fix/DATE` ветки, auto-merge/reset.
-
-Ключевой принцип Karpathy для безопасной автономии:
-- границы изменений (один файл у них, один каталог у нас)
-- объективная метрика (val_bpb / kb-health score)
-- фиксированный budget (5 мин у них / 1 прогон в ночь у нас)
+Level 4 agent-loop реально работает — Opus за 7 минут снёс 448 штрафов из 463. Сам написал `kb-add-indexes.py` когда увидел массовую задачу. Это эквивалент karpathy/autoresearch для KB: метрика-ветка-merge-reset.
 
 ## Итог дня
 

decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md

@@ -0,0 +1,124 @@
+---
+date: 2026-04-20
+type: decision
+status: ОТКАЧЕНО
+tags: [decision, niikn, mmfb, network, wireguard, rollback]
+---
+
+# 2026-04-20: Обход блокировки nspd.gov.ru в НИИКН через WG-туннель к LionART
+
+> **⚠️ СТАТУС: РЕШЕНИЕ ОТКАЧЕНО 2026-04-20 вечером.** После поднятия туннеля сотрудники НИИКН стали жаловаться на медленный интернет. Туннель удалён полностью с обеих сторон (НИИКН и LionART), OpenWrt DNS-override убран. Проблема NSPD остаётся открытой — искать другое решение. Описание ниже сохранено для референса: схема рабочая, но требует дополнительной диагностики что именно замедлило общий трафик (возможно MTU/фрагментация, перегрузка LionART, или случайное совпадение). См. задачу в spawn для вечерней работы.
+
+## Проблема
+
+Сотрудники НИИКН не могут открыть `https://nspd.gov.ru/` (Национальная система пространственных данных Росреестра). Возвращается страница "Запрещено" с Rule `57615a88d1ec0120b56fdce6`, Client IP `85.235.181.190`.
+
+## Диагностика — что НЕ помогло
+
+1. **DNS override на OpenWrt** (исключение `nspd.gov.ru` из podkop через `dnsmasq.server=/nspd.gov.ru/77.88.8.8`) — DNS возвращает реальный IP, но клиент видит блок
+2. **Hosts на клиенте** (`2.63.246.71 nspd.gov.ru`) — то же самое
+3. **Static route на клиенте** (`route -p add 2.63.246.0/24 → 192.168.1.1`) — то же самое
+4. **Полное отключение OpenWrt + podkop-fakeip route на MikroTik** — то же самое
+5. **Отключение DoH в Yandex Browser** — то же самое
+
+## Корень проблемы
+
+Публичный IP MikroTik НИИКН = `85.235.181.190` (диапазон `Customers_P2P_B16_WAN_NET` от MTS PJSC, AS8359, country RU). НСПД блокирует именно этот корпоративный диапазон МТС на уровне WAF — это **блокировка по IP на стороне сервера НСПД**, никакие настройки внутри НИИКН не помогут.
+
+Подтверждение: с другого МТС-IP (`176.62.183.186`, dttb.ru) и с публичного IP LionART (`195.26.30.163`) НСПД отвечает HTTP 200.
+
+## Решение
+
+Поднят WireGuard site-to-site туннель **MikroTik НИИКН ↔ MikroTik LionART**. Только трафик к подсети НСПД (`2.63.246.0/24`) маршрутизируется через туннель — остальной интернет НИИКН идёт по-прежнему через МТС.
+
+```
+[Клиент НИИКН 192.168.1.x]
+  → [MikroTik НИИКН 192.168.1.1, masq на wg-lionart → 10.99.99.2]
+  → [WG туннель 10.99.99.0/30]
+  → [MikroTik LionART 10.253.1.1, masq на ether1 → 195.26.30.163]
+  → [НСПД 2.63.246.0/24]  ✅ HTTP 200
+```
+
+## Конфигурация
+
+### MikroTik LionART (`10.253.1.1`, hydropark, RouterOS 7.16.2)
+
+```
+/interface/wireguard add name=wg-niikn listen-port=51820 mtu=1420 \
+    comment="tunnel to NIIKN MikroTik for NSPD bypass"
+/ip address add address=10.99.99.1/30 interface=wg-niikn
+
+/interface/wireguard/peers add interface=wg-niikn \
+    public-key="ozex5MoF4rxnYpFyO5w44oittLehavs1YiPEq/ec4xU=" \
+    allowed-address=10.99.99.2/32 comment="NIIKN MikroTik"
+
+/ip firewall filter add chain=input action=accept protocol=udp dst-port=51820 \
+    in-interface-list=WAN comment="WG NIIKN" place-before=0
+/ip firewall filter add chain=forward action=accept in-interface=wg-niikn \
+    out-interface-list=WAN comment="WG NIIKN to WAN" place-before=0
+/ip firewall filter add chain=forward action=accept in-interface-list=WAN \
+    out-interface=wg-niikn connection-state=established,related \
+    comment="WAN to WG NIIKN reply" place-before=0
+```
+
+- Public key LionART: `YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=`
+- WAN: ether1-gw-telekom, публичный IP `195.26.30.163/27`
+
+### MikroTik НИИКН (`192.168.1.1`, RouterOS 7.20.6)
+
+```
+/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420 \
+    comment="tunnel to LionART for NSPD bypass"
+/ip address add address=10.99.99.2/30 interface=wg-lionart
+
+/interface/wireguard/peers add interface=wg-lionart \
+    public-key="YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=" \
+    endpoint-address=195.26.30.163 endpoint-port=51820 \
+    allowed-address=10.99.99.0/30,2.63.246.0/24 \
+    persistent-keepalive=25s comment="LionART exit for NSPD"
+
+/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 \
+    comment="NSPD via LionART"
+
+/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \
+    comment="masq NSPD via LionART WG"
+```
+
+- Public key НИИКН: `ozex5MoF4rxnYpFyO5w44oittLehavs1YiPEq/ec4xU=`
+
+## Критичные моменты
+
+1. **Masquerade на wg-lionart на стороне НИИКН обязателен.** Без него LionART получает пакеты с source `192.168.1.x`, но conntrack/firewall не пропускает обратные ответы → SYN уходит, SYN-ACK теряется → timeout.
+2. **Forward правила на LionART обязательны** — дефолтный firewall пропускает только трафик из/в LAN `10.253.1.0/24`. Трафик из `wg-niikn` в WAN нужно явно разрешить.
+3. **AllowedIPs `2.63.246.0/24` на peer НИИКН** автоматически создаёт маршрут — но я добавил явный static route для надёжности (с понятным комментом).
+4. NSPD не отвечает на ICMP — для проверки используй `/tool fetch` или `curl`, а не ping.
+
+## Откат полной конфигурации
+
+```
+# На LionART
+/interface/wireguard remove wg-niikn
+/ip firewall filter remove [find comment~"WG NIIKN"]
+
+# На НИИКН
+/interface/wireguard remove wg-lionart
+/ip route remove [find comment="NSPD via LionART"]
+/ip firewall nat remove [find comment="masq NSPD via LionART WG"]
+```
+
+## Связанные изменения (временные, из той же сессии)
+
+В процессе диагностики были сделаны изменения, **не связанные** с финальным решением — их можно откатить:
+
+1. **MikroTik НИИКН: podkop-fakeip route disable** (`/ip route disable [find comment="podkop-fakeip"]`) — отключил маршрут `198.18.0.0/15 → 192.168.1.50`. Из-за этого WhatsApp/Telegram/Instagram через podkop сейчас не работают. Для возврата: `/ip route enable [find comment="podkop-fakeip"]`.
+2. **MikroTik НИИКН: DHCP DNS изменён** на `77.88.8.8,8.8.8.8` (вместо `192.168.1.50`). Для возврата: `/ip dhcp-server network set [find] dns-server=192.168.1.50`.
+3. **OpenWrt: dnsmasq override для nspd.gov.ru** — добавлен в `/etc/config/dhcp` (`server=/nspd.gov.ru/77.88.8.8`). Не мешает работе, можно оставить или удалить через UCI.
+
+После решения с WG туннелем эти временные изменения **больше не нужны для NSPD** — можно вернуть podkop в исходное состояние.
+
+## Долгосрочное решение
+
+Связаться со службой поддержки Росреестра/НСПД и попросить разблокировать корпоративный IP `85.235.181.190` (МТС). Контакт: 8-800-100-34-34, https://nspd.gov.ru/feedback. Тогда WG-туннель можно будет удалить.
+
+## Теги
+`#niikn` `#mmfb` `#lionart` `#mikrotik` `#wireguard` `#nspd` `#bypass` `#fix`

decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md

@@ -0,0 +1,68 @@
+---
+date: 2026-04-21
+type: decision
+tags: [decision, network, wireguard, znamenskoye, ohothozyistvo, backup-channel]
+---
+
+# 2026-04-21: Восстановление резервного WG-канала для охотхозяйства
+
+## Контекст
+
+Объект «Знаменское Охотхозяйство» работает на LTE через MikroTik hAP ax lite LTE6 (CGNAT), единственный канал управления — Netbird через Orange Pi R1+ LTS (OpenWrt 21.02). Нужен резервный канал на случай деградации Netbird. Ранее пробовали WG на MikroTik — ломал интернет (default route hijacking через distance=2). Физического доступа к объекту нет.
+
+Существующий WG на Orange Pi (wg0 → VPS 89.111.140.86) числился в документации как «сломан из-за port mismatch», но на самом деле не работал по **двум** причинам:
+
+1. Orange Pi `wg0` endpoint port: `51820` — VPS слушает `51821`.
+2. VPS `/etc/wireguard/wg0.conf` пира `10.5.0.3` имел pubkey `zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8=` (вероятно, старый ключ MikroTik-овского `wg-vps`), а Orange Pi шлёт от ключа `QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI=`.
+
+## Варианты
+
+1. Починить существующий WG на Orange Pi (минимум правок, WG не трогает default route на OpenWrt).
+2. Поднять AmneziaWG на Orange Pi по схеме НИИКН (требует OpenWrt 22.03+, Orange Pi на 21.02 — обновление sysupgrade без физдоступа = риск окирпичивания).
+3. Включить WG на MikroTik заново — известная проблема с default route, отпадает.
+
+## Решение
+
+**Вариант 1.** Починить WG на Orange Pi, оставить MikroTik `wg-vps` disabled.
+
+Изменения:
+- На Orange Pi: `uci set network.wg0_peer.endpoint_port='51821'` → `ifdown wg0 && ifup wg0`.
+- На VPS: `sed` в `/etc/wireguard/wg0.conf` (бэкап `.bak-20260421-1512`) — PublicKey пира `10.5.0.3` заменён на `QK2SMILE...`. Перечитано атомарно `wg syncconf wg0 <(wg-quick strip wg0)` — **другие пиры не затронуты** (10.5.0.4 Home 4.37 TiB трафика, 10.5.0.2 З-29).
+
+Проверено:
+- VPS ↔ Orange Pi (10.5.0.3): 0% loss, RTT ~40-107 мс
+- VPS ↔ MikroTik (192.168.8.1): 0% loss, RTT ~40 мс
+- VPS ↔ NVR (192.168.8.247): 0% loss
+- DNAT публичных портов: `http://89.111.140.86:8180/` (NVR Web) → HTTP 200 за 0.22s
+- Интернет на объекте не пострадал
+
+## Последствия
+
+### Что обновлено
+- [Документация охотхозяйства](../claude-memory/znamenskoye-ohothozyistvo.md) — актуализированы разделы 2, 3, 5, 6.
+- Netbird IP Orange Pi изменился: `100.70.63.67` → `100.70.106.227` (Connected P2P, не Relayed как писали ранее).
+
+### Новый ключ доступа к VPS
+SSH-ключ ранее был «на clawdbot LXC 129», но clawdbot больше нет (только LXC 137 openclaw). Заведён новый ключ:
+- Локальный файл: `~/.ssh/vps_znam_key` (RSA-2048, сгенерирован панелью sweb.ru)
+- Имя ключа в sweb.ru: `claude`
+- **TODO (Олег):** сохранить приватный ключ в Bitwarden `bit.dttb.ru` как `VPS znam (89.111.140.86)` — чтобы не потерять снова.
+
+### Резервные каналы объекта (после фикса)
+| # | Канал | Путь |
+|---|-------|------|
+| 1 (основной) | Netbird mesh | Mac → 100.70.106.227 → 192.168.8.0/24 |
+| 2 (резерв) | WG через VPS | Интернет → VPS → WG 10.5.0.1↔10.5.0.3 → 192.168.8.0/24 |
+
+DNAT камер/NVR через VPS 89.111.140.86:8xxx теперь реально работает (до фикса транспорт был мёртв).
+
+### Отложено (опционально)
+- Второй WG-peer на VPS `:443/udp` — защита от DPI LTE-оператора, если начнёт блокировать `:51821`.
+- `autossh` reverse tunnel с Orange Pi на VPS — третий канал на случай падения и Netbird, и WG.
+- Обновление Orange Pi до OpenWrt 24.10 + AWG по схеме НИИКН — отложено из-за отсутствия физдоступа.
+
+### Почему документация была неверной
+В старом `znamenskoye-ohothozyistvo.md` описан только port mismatch (51820 vs 51821) — но смена порта одна handshake не восстанавливает, т.к. pubkey пира на VPS тоже не соответствовал Orange Pi. Вероятный источник путаницы — пир на VPS создавался когда WG пытались поднять на MikroTik (свой keypair), потом переключили на Orange Pi (другой keypair) и на VPS ключ не обновили.
+
+## Теги
+`#znamenskoye` `#ohothozyistvo` `#wireguard` `#openwrt` `#backup-channel` `#vps` `#fix`

decisions/2026-04-24-finland-vps-malware-cleanup.md

@@ -0,0 +1,110 @@
+---
+date: 2026-04-24
+type: incident
+tags: [niikn, vpn, security, malware, finland]
+---
+
+# Finland VPS 78.17.4.225 — инцидент XorDDoS + очистка
+
+## Обстоятельства
+- 24 Apr провайдер adminvps.ru заблокировал сервер за **14 ТБ трафика за ~11 дней** (~1.27 ТБ/день)
+- Олег доплатил +8 ТБ, сервер снова в сети
+- AmneziaVPN НИИКН (клиенты через OpenWrt 10.8.1.16) всё это время работал, но на фоне шёл malware
+
+## Диагноз
+Семейство **Linux/XorDDoS** (или близкий вариант). Маскировки:
+- `/usr/bin/zneirjeklr` — главный бинарь, cmdline `[rcu_gp]` (под kernel thread)
+- `/etc/init.d/zneirjeklr` — SysV init persistence (автогенерит systemd unit)
+- `/etc/cron.hourly/gcc.sh` — backup persistence, cp из `/lib/libudev.so` в `/lib/libudev.so.6` и запуск
+- `/usr/local/bin/lvm2-monitor` — под LVM monitor
+- `/lib/libudev.so` + `/usr/lib/libudev.so` — под libudev
+- `/tmp/*` + `/var/tmp/*` — дропперы с числовыми именами (3.2 МБ каждый)
+- `/var/tmp/QvqDAQNp` — UPX-packed дроппер (14 МБ)
+- cmdline `hald-runner` / `mingetty tty1` — фейковые имена процессов
+
+## Хронология (по mtime)
+| Дата | Событие |
+|------|---------|
+| 28 Mar 23:59 | Первый успешный `Accepted password` с 172.18.0.3 (panel-web legitimate или уже compromised) |
+| 7 Apr 19:44 | Дроппер `/var/tmp/QvqDAQNp` создан |
+| 13 Apr 5:54-5:59 | Массовое создание 7 дропперов в `/var/tmp/` |
+| 17 Apr 17:33 | Ещё волна (EXT4 remount в dmesg) |
+| 20 Apr 02:13 | `zneirjeklr.service` активирован (systemd-sysv-generator) |
+| 23 Apr 14:49 | Провайдер остановил сервер (квота) |
+| 24 Apr 11:40 | Олег оплатил, сервер поднялся — malware сразу запустился |
+| 24 Apr 12:00-12:30 | Очистка |
+
+## C2 инфраструктура
+- 141.98.10.115:1531
+- 170.168.103.27:29205
+- 64.89.161.144:40778
+
+## Точка входа
+**RCE в PHP-панели AmneziaVPN (`amnezia-panel-web`)** — НЕ SSH brute-force.
+Доказательство: единственные успешные `Accepted password` в auth.log — с 176.62.183.186 (Олег) и 172.18.0.3 (панель, легитимный `collect_metrics.php`). **Ни одного Accepted с внешнего malware-IP.**
+
+Брут извне был (91.142.77.101: 67k, 91.142.78.60: 66k, 91.142.78.8: 36k попыток) — НЕ пробил.
+
+## Что сделано
+1. **Блок C2** — `iptables -I OUTPUT -d <C2> -j DROP` × 3
+2. **Kill + empty + chattr +i** на все 10 malware-файлов (пересоздаются но с нулевым содержимым и immutable — записаться не могут)
+3. **SSH усилен:**
+   - Убран `PubkeyAuthentication no` из `/etc/ssh/sshd_config.d/99-cloud-init.conf` (cloud-init ставил по умолчанию — вот почему раньше входили только паролем)
+   - `PasswordAuthentication no` везде
+   - Новый root пароль `Ztey8pwWBiNNiMU09y76` (сохранён в `/root/.new_root_pw`), но по сути пароль уже не используется
+4. **Docker→host SSH заблокирован:** `iptables -I INPUT -s 172.17.0.0/16 -p tcp --dport 22 -j DROP` (× 4 сети). **Важно:** это ломает `amnezia-panel/collect_metrics.php` — панель больше не получает метрики хоста. ВПН-туннели работают.
+5. **fail2ban** установлен, active. Whitelist для docker сетей добавлен в `/etc/fail2ban/jail.d/docker-ignore.conf`.
+6. **iptables-persistent** — правила сохранены в `/etc/iptables/rules.v4`, выживут reboot.
+
+## Forensic артефакты (на сервере)
+- `/root/forensic-20260424/zneirjeklr.bin` — копия бинарника
+- `/root/forensic-20260424/1380609993.bin` — копия второй стадии
+- `/root/clean-*.log` — лог очистки
+- `/root/.ssh/authorized_keys.bak-20260424` — бэкап authorized_keys до дедупликации
+
+## Что ещё надо (не сделано)
+1. **Обновить/пересобрать amnezia-panel-web** — там PHP-RCE, может вернуться (текущий образ `amneziavpnphp_web` из `/opt/amneziavpnphp/docker-compose.yml`)
+2. **Восстановить метрики панели** — либо положить SSH-ключ из контейнера в authorized_keys хоста, либо отключить `collect_metrics.php`
+3. Мониторинг: `vnstat -d` раз в сутки, алерт при >50 ГБ/день
+4. Через ~24 часа проверить `iptables -nvL OUTPUT | grep DROP` — если счётчики всё ещё растут = остался watchdog
+5. Проверить другие контейнеры (amnezia-panel-db, vpn-nginx) на заражение
+
+## Как заходить теперь
+```bash
+ssh -i ~/.ssh/id_ed25519 root@78.17.4.225   # только ключ
+# Пароль sshpass больше не работает (PasswordAuthentication=no)
+```
+
+## Проверка через 3 часа после очистки (24 Apr ~15:30 UTC)
+**Всё устойчиво:**
+- Malware-процессов: 0
+- Внешних подозрительных соединений: 0
+- Файлы-ловушки целы (0 байт + `chattr +i`), новых дропперов в /tmp/var/tmp нет
+- C2 OUTPUT DROP счётчики **не растут** (только +6 пакетов на 170.168.103.27 — доумирающие TCP-ретраи): 95 / 80 / 21
+- INPUT DROP `amnezia-panel→host:22` — 10,563 пакетов (легитимный collect_metrics.php каждую минуту, безвреден)
+- fail2ban: 54 IP забанены за сутки, 1211 failed отбито
+- vnstat: вчера 1.77 GiB, сегодня 749 MiB (92 kbit/s) — **норма** (раньше 120 Мбит/с при заражении)
+- AmneziaWG: handshake свежий, клиенты НИИКН активны, передано 2.03 GiB
+
+**Очистка устойчива. Watchdog'ов не осталось. Сервер можно оставить в работе.**
+
+## Хеши malware (для blocklist)
+Сохранены в `/root/forensic-20260424/`:
+- `zneirjeklr.bin` (114779 байт) — главный бинарь
+- `1380609993.bin` (3301552 байт) — вторая стадия
+
+## Сетевые IOC (Indicators of Compromise)
+**C2 IP (заблокированы в OUTPUT):**
+- 141.98.10.115:1531
+- 170.168.103.27:29205
+- 64.89.161.144:40778
+
+**Brute-force источники (топ-10 за период до очистки):**
+- 91.142.77.101 — 67,267 попыток
+- 91.142.78.60 — 66,472
+- 91.142.78.8 — 36,116
+- 176.120.22.13 — 5,164
+- 223.76.107.28 — 5,131
+- 80.66.66.70 — 3,128
+
+Эти IP уже автоматически попадают в fail2ban при появлении.

decisions/2026-04-28-netbird-watchdog-lxc-132-137.md

@@ -0,0 +1,66 @@
+---
+date: 2026-04-28
+type: decision
+tags: [decision, openclaw, netbird, code-server, monitoring]
+---
+
+# 2026-04-28: NetBird watchdog на LXC 132 и 137 (фикс "бот молчит")
+
+## Симптом
+
+Олег пишет Максимке (openclaw, LXC 137) с 10:10 до 11:09 — **9 сообщений без ответа**. В логах gateway:
+
+```
+FailoverError: LLM request failed: network connection error
+502 [kiro/claude-sonnet-4.5]: fetch failed (reset after 1s)
+502 [claude/claude-sonnet-4-6]: fetch failed (reset after 5s)
+502 [codex/gpt-5.4]: fetch failed (reset after 2s)
+```
+
+Все 3 модели в failover-цепочке падают с TCP-reset за 1-5 секунд.
+
+## Корень
+
+NetBird daemon на **LXC 132 (code-server, OmniRoute + CLIProxy)** в зомби-состоянии:
+
+```
+Management: Connected
+Signal: Connected
+Relays: 0/4 Available     ← застряло
+Nameservers: 0/0 Available
+```
+
+DNS-запросы к `1.1.1.1` через `wt0`-туннель падают мгновенно с `write: required key not available` — WireGuard handshake с пиром не завершён, ключ не загружен в ядро. Поэтому curl на `api.anthropic.com` / `api.openai.com` отвечает `HTTP 000` за 0.0001s. CLIProxy без апстрима возвращает HTTP 500 на каждый POST.
+
+Ручной `systemctl restart netbird` сразу чинит — Relays поднимаются 4/4, DNS работает, curl Anthropic = 405, OpenAI = 401.
+
+## Решение
+
+Watchdog на LXC 132 и LXC 137:
+
+- `/usr/local/bin/netbird-watchdog.sh` — проверяет `netbird status`. Если `Relays: 0/N` или `Peers count: 0/N` (при N>0 и Management=Connected) — `systemctl restart netbird`. Минимум 5 мин между рестартами (lock-файл `/run/netbird-watchdog.last-restart`).
+- `netbird-watchdog.service` (oneshot) + `netbird-watchdog.timer` (каждые 2 мин).
+
+## Деплой
+
+```bash
+for CT in 132 137; do
+  pct push $CT netbird-watchdog.sh /usr/local/bin/ --perms 0755
+  pct push $CT netbird-watchdog.service /etc/systemd/system/
+  pct push $CT netbird-watchdog.timer /etc/systemd/system/
+  pct exec $CT -- systemctl daemon-reload
+  pct exec $CT -- systemctl enable --now netbird-watchdog.timer
+done
+```
+
+Скрипты — `snippets/netbird-watchdog/`.
+
+## Логи
+
+Решение пишет в journalctl с tag `netbird-watchdog`:
+
+```bash
+journalctl -t netbird-watchdog -n 20
+```
+
+Если за неделю не было ни одного срабатывания — проблема была разовой. Если срабатывает регулярно — нужно копать корень почему wireguard handshake разваливается (MTU? фрагментация UDP? провайдер режет?).

decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md

@@ -0,0 +1,56 @@
+---
+date: 2026-04-28
+type: decision
+tags: [decision, niikn, network, dns, podkop]
+---
+
+# 2026-04-28: Открыть uookn.sev.gov.ru из НИИКН (DNS override)
+
+## Проблема
+
+Сотрудники НИИКН жалуются — не открывается `https://uookn.sev.gov.ru/` (Управление по охране объектов культурного наследия Севастополя, на Bitrix).
+
+## Диагноз
+
+По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
+
+| Точка | HTTP | Real IP |
+|-------|------|---------|
+| Mac (Ростелеком Истра) | 200 | 213.59.161.38 |
+| pve-LionART (чистый WAN) | 200 | 213.59.161.38 |
+| pve-niikn vmbr0 (МТС B2B) | 200 | 213.59.161.38 |
+| OpenWrt 192.168.1.50 (DNS клиентов НИИКН) | — | **198.18.1.123 (FakeIP)** |
+
+Оба WAN отдают сайт. МТС не блочит. **Причина** — `sev.gov.ru` подпадает под podkop community-list (вероятно `russia_outside`), DNS подменяется FakeIP, трафик уходит в awg0 Финляндию и не возвращается. Тот же паттерн, что `zakupki.gov.ru`.
+
+## Решение
+
+OpenWrt `192.168.1.50` — добавлен root-домен в dnsmasq `server=`:
+
+```bash
+ssh root@192.168.1.50
+uci add_list dhcp.@dnsmasq[0].server='/sev.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+NetBird route **НЕ требуется** (в отличие от nspd).
+
+## Проверка
+
+```
+DNS 192.168.1.50:    uookn.sev.gov.ru → 213.59.161.38
+МТС vmbr0 + curl:    HTTP 200, 216 KB
+OpenWrt curl:        HTTP 200, 216 KB
+```
+
+Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
+
+## Текущий список dnsmasq override на 192.168.1.50
+
+```
+'127.0.0.42'                 # podkop sing-box
+'/nspd.gov.ru/8.8.8.8'       # + NetBird route 2.63.246.0/24
+'/zakupki.gov.ru/8.8.8.8'    # только DNS
+'/sev.gov.ru/8.8.8.8'        # только DNS — добавлено сегодня
+```

decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md

@@ -0,0 +1,133 @@
+---
+date: 2026-04-28
+type: migration
+tags: [rustdesk, lxc116, npm, lejianwen, must-login, isolation]
+---
+
+# RustDesk migration: OSS hbbs/hbbr → lejianwen-pro
+
+## Цель
+
+Закрыть дыру: техник Клиента-А не должен подключаться к машинам Клиента-Б, даже зная ID и пароль. Это задача `MUST_LOGIN=Y` на уровне `hbbs`.
+
+## Что было
+
+- LXC 116 `rustdeskserver` — Debian 12, 10.0.0.244 / 100.70.191.161 (NetBird)
+- Установлено через ProxmoxVE community-script (нативно, не Docker):
+  - `hbbs` 1.1.14 — **OSS** Purslane (поддерживает только `--key`, `-r`, `--rendezvous-servers`, `ALWAYS_USE_RELAY`)
+  - `hbbr` 1.1.14 — OSS
+  - `rustdesk-api` 2.7 — **lejianwen** (это уже не OSS, но без настроек: lang=zh-CN, jwt пустой, домен 192.168.1.66 мусорный)
+- Конфиг `/var/lib/rustdesk-api/conf/config.yaml` — почти дефолтный, никто не правил
+- БД `rustdeskapi.db` 352K с 1 admin user + 13 peers (внутренние LAN)
+- NPM Proxy Host 14 для `remot.dttb.ru` смотрел на **мёртвый 10.0.0.43:21114**, streams 30-35 на **мёртвый 10.0.0.44**, SSL force/HTTP/2/block_exploits всё off
+- `https://remot.dttb.ru/_admin/` снаружи: **502 Bad Gateway** (никто никогда не пользовался web-админкой через домен)
+- Peers всё равно работали: внутренние через LAN 10.0.0.244, внешние видимо через NetBird mesh / DNAT на роутере минуя NPM
+
+## Найденная развилка
+
+OSS `hbbs` не понимает `MUST_LOGIN`. Этот патч есть только в `lejianwen/rustdesk-server-pro` (тот же бинарь, что в docker-образе `lejianwen/rustdesk-server-s6`). Без него изоляция работает только на уровне `rustdesk-api` (адресные книги по группам), но любой клиент с правильным ключом всё равно может ходить по ID минуя API.
+
+## Варианты
+
+| Вариант | Действие | Плюс | Минус |
+|---|---|---|---|
+| A1 | Подменить только бинари hbbs/hbbr на pro, остальное оставить | Минимум потрясений, ключ/БД/api/NPM streams не трогаем | На LXC два разных способа управления (apt + override). apt-mark hold нужен |
+| A2 | Оставить OSS, изоляция только через api | Ноль рисков ломки | Главное требование (изоляция по ID) не закрыто |
+| A3 | Полная миграция в Docker s6 (как в исходном промте Олега) | Единый стек, проще будущие upgrades | Требует Docker, расширения rootfs LXC, миграции БД, больше точек отказа сейчас |
+
+**Выбран: A1.** A3 — отдельной задачей через 2-4 недели когда дойдём до MySQL/HA/MCP-обёртки.
+
+## Что сделано
+
+### LXC 116
+1. **Бэкап** `/root/rustdesk-backup-20260428-1134/` (ключи, db_v2.sqlite3, rustdeskapi.db, config.yaml.orig, systemd units, JWT, admin pw)
+2. **Pro-бинари** извлечены из `lejianwen/rustdesk-server-s6:latest` через docker на Proxmox-host (на самом 10.0.0.250 docker есть, в LXC 116 — нет):
+   ```
+   docker create --name rd-extract lejianwen/rustdesk-server-s6:latest
+   docker cp rd-extract:/usr/bin/hbbs /tmp/...
+   docker cp rd-extract:/usr/bin/hbbr /tmp/...
+   pct push 116 ...
+   ```
+3. **Подмена** через `mv`:
+   - `/usr/bin/hbbs.oss-1.1.14` ← старый
+   - `/usr/bin/hbbs` ← новый pro (поддерживает `--must-login Y`)
+4. **`apt-mark hold rustdesk-server-hbbs rustdesk-server-hbbr`** — apt не перезапишет
+5. **Systemd overrides:**
+   - `/etc/systemd/system/rustdesk-hbbs.service.d/override.conf`:
+     ```
+     ExecStart=
+     ExecStart=/usr/bin/hbbs -k _ -r remot.dttb.ru:21117 --must-login Y
+     ```
+   - `/etc/systemd/system/rustdesk-hbbr.service.d/override.conf`:
+     ```
+     ExecStart=
+     ExecStart=/usr/bin/hbbr -k _
+     ```
+6. **`config.yaml`** правки (точечно, без пересборки):
+   - `lang: ru`
+   - `admin.title: "Remote Support Portal"`
+   - `app.show-swagger: 1`, `ban-threshold: 5`
+   - `rustdesk.id-server / relay-server: remot.dttb.ru`
+   - `rustdesk.api-server: https://remot.dttb.ru`
+   - `rustdesk.key: R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU=` (значение `id_ed25519.pub`)
+   - `rustdesk.key-file: /var/lib/rustdesk-server/id_ed25519.pub`
+   - `jwt.key: <openssl rand -base64 48>`
+7. **Admin pw сменён** через CLI: `rustdesk-api reset-admin-pwd <pw>` (cd в `/var/lib/rustdesk-api/`)
+
+### NPM (LXC 103 через API)
+1. Proxy Host 14 (id 14): `forward_host: 10.0.0.244`, `ssl_forced/http2/block_exploits=true`, `caching_enabled=false`, `allow_websocket_upgrade=true`
+2. **Custom Nginx Configuration** (advanced_config) добавлен с `location /ws/id` (→21118) и `/ws/relay` (→21119) — для будущей All-in-HTTPS архитектуры (клиенты за корпоративными firewall'ами через 443)
+3. Stream 30 (TCP 21114) **удалён** — API не должен жить голым TCP
+4. Streams 31-35 пересозданы (id 38-43) на 10.0.0.244 (PUT не работает на streams API — `additional properties` ошибка; делать DELETE+POST с минимальным body без `certificate_id`)
+5. Добавлен Stream id 43: 21116/TCP (id-server) дополнительно к Stream id 39: 21116/UDP
+
+## Подтверждения
+
+- `sha256sum id_ed25519.pub` идентичен до/после миграции (`abfbebe9…a38c6b`) ✅
+- `sha256sum id_ed25519` (приватный) идентичен ✅
+- `MUST_LOGIN=Y` явно в `/var/log/rustdesk-server/hbbs.log` после рестарта
+- `Key: R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU=` тот же
+- `Private key comes from id_ed25519` — pro-hbbs нашёл существующий ключ, не перегенерировал
+- Все 7 портов 21114-21119 слушают
+- `https://remot.dttb.ru/_admin/` снаружи: **HTTP/2 200 OK** (раньше 502)
+- 13 существующих peers продолжают подключаться (БД та же)
+
+## Грабли
+
+1. **community-script ставит OSS hbbs**, не pro. Бинарь от Purslane Ltd. Версия 1.1.14 у обоих идентична, но pro имеет дополнительный CLI-флаг `--must-login Y` и читает `MUST_LOGIN` env. Проверка через `grep -ao MUST_LOGIN /usr/bin/hbbs` (`strings` в LXC нет).
+2. **Admin API не пускает через curl** даже с правильным admin-токеном из `/api/admin/login` — требует web-сессию. Юзеров и группы создавать через UI.
+3. **NPM PUT на streams возвращает 400 `additional properties`** — даже если отправить только разрешённые поля. Решение: DELETE + POST с минимальным body (5 полей: incoming_port, forwarding_host, forwarding_port, tcp_forwarding, udp_forwarding). Без `certificate_id`.
+4. **`ENCRYPTED_ONLY` env-переменная** не нашлась как строка в pro-бинаре hbbs. Возможно управляется через config или этого патча нет в публичном `lejianwen/rustdesk-server-s6`. MUST_LOGIN сам по себе закрывает изоляцию — шифрование RustDesk и так включено для key-серверов.
+5. **NPM streams для портов 21115-21119 по факту не использовались** — peers подключались внутри LAN (10.0.0.244 напрямую) или через NetBird (100.70.191.161). Поэтому "поломанная" конфигурация NPM не мешала. Внешний DNAT на роутере dttb.ru вероятно идёт прямо на rustdesk-сервер минуя NPM (надо ещё разок проверить — или подтвердить что внешние клиенты ходят через NetBird).
+
+## Rollback
+
+`bash /root/rustdesk-rollback.sh` — за 30 секунд:
+- mv бинари обратно (`/usr/bin/hbbs.oss-1.1.14` → `/usr/bin/hbbs`)
+- удаляет systemd overrides
+- восстанавливает `config.yaml.orig`
+- снимает apt-mark hold
+- рестартует сервисы
+
+NPM-настройки **скриптом не откатываются** — ручной откат через UI или из `/data/database.sqlite` LXC 103.
+
+## TODO (отдельные задачи)
+
+- Создать клиентские группы и юзеров через web (Олег, в /_admin/)
+- Протестировать изоляцию на тестовой клиентской машине
+- Раскатать новый `RustDesk2.toml` на ~30-50 машин через GPO/скрипт (старые конфиги тоже работают — ключ тот же)
+- Бэкап БД API + ключей по cron на ArtLeon через NetBird/rsync
+- Через 2-4 недели — миграция в Docker rustdesk-server-s6 (Вариант A3), MySQL/HA, MCP-обёртка
+
+## Связанные файлы
+
+На LXC 116:
+- `/root/rustdesk-backup-20260428-1134/` — бэкап и креды
+- `/root/rustdesk-rollback.sh` — откат (chmod 700)
+- `/root/RustDesk2.toml` — шаблон клиента
+- `/root/rustdesk-migration-report.md` — расширенный отчёт
+
+В kb:
+- [[projects/dttb/rustdesk]] — справочник по серверу
+- [[projects/dttb/credentials]] — креды (admin pw, JWT_KEY)
+- [[projects/dttb/proxmox-inventory]] — LXC 116 запись обновлена

decisions/2026-04-29-rustdesk-client-deployment-package.md

@@ -0,0 +1,133 @@
+---
+date: 2026-04-29
+type: deployment
+tags: [rustdesk, deployment, installers, nextcloud, automation]
+---
+
+# RustDesk client deployment package — Nextcloud `RustDesk install/`
+
+## Цель
+
+Удобное развёртывание ~30-50 клиентских машин (НИИКН + клиенты) с pre-настроенным RustDesk. Клиент должен после установки сразу подключаться к `remot.dttb.ru`, без ручной настройки api/relay/key.
+
+## Что сделано
+
+В корне Nextcloud (`Nextcloud-admin@dttb․ru`) создана папка **`RustDesk install/`** с готовыми установщиками + автоматическими скриптами + конфигом.
+
+### Структура
+
+```
+RustDesk install/                        ~766 MB total
+├── README.md                            инструкция для клиента
+├── RustDesk2.toml                       шаблон конфига (ID/relay/api/key)
+├── windows/
+│   ├── rustdesk-1.4.6-x86_64.exe        23 MB - основной installer
+│   ├── rustdesk-1.4.6-x86_64.msi        23 MB - MSI для GPO
+│   ├── Install-Windows.ps1              PowerShell автоустановка
+│   └── Install-Windows.bat              wrapper, двойной клик → UAC → автоинстал
+├── linux/
+│   ├── rustdesk-1.4.6-x86_64.deb        22 MB
+│   ├── rustdesk-1.4.6-aarch64.deb       20 MB
+│   ├── rustdesk-1.4.6-x86_64.rpm        30 MB
+│   ├── rustdesk-1.4.6-aarch64.rpm       29 MB
+│   ├── rustdesk-1.4.6-x86_64.AppImage   81 MB - для дистрибутивов без apt/dnf
+│   └── install-linux.sh                 bash, авто-detect arch + pkg manager
+├── macos/
+│   ├── rustdesk-1.4.6-aarch64.dmg       24 MB - Apple Silicon
+│   ├── rustdesk-1.4.6-x86_64.dmg        31 MB - Intel
+│   └── install-macos.sh                 bash, mount dmg + copy to /Applications
+└── android/
+    └── rustdesk-1.4.6-universal.apk     67 MB
+```
+
+Версия RustDesk **1.4.6** (latest stable, релиз 2026-03-05). Совпадает с тем что у Олега на Mac и Windows-сервере.
+
+## Что делает скрипт
+
+1. **Установка** — silent через системный пакетный менеджер
+2. **Остановка сервиса** перед перезаписью конфига (`Stop-Service RustDesk` / `systemctl stop rustdesk`)
+3. **Копирование `RustDesk2.toml`** в правильное место:
+   - Windows service mode: `C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\RustDesk\config\`
+   - Windows user mode (fallback): `%APPDATA%\RustDesk\config\`
+   - Linux service: `/root/.config/rustdesk/`
+   - Linux user: `~/.config/rustdesk/`
+   - macOS: `~/Library/Preferences/com.carriez.RustDesk/`
+4. **Генерация permanent password** (10 символов, случайный per-machine) через `rustdesk --password <pw>`
+5. **Сохранение creds** в файл (chmod 600):
+   - Windows: `C:\Users\Public\rustdesk-credentials.txt` + `C:\Users\Public\Desktop\RustDesk-ID.txt`
+   - Linux: `/root/rustdesk-credentials.txt`
+6. **Запуск сервиса** — `Start-Service RustDesk` / `systemctl start rustdesk`
+7. **Вывод** ID + пароля для пользователя
+
+macOS — без auto-password (sandboxing) — пользователь устанавливает permanent password сам через UI.
+
+## Конфиг сервера (RustDesk2.toml)
+
+```toml
+rendezvous_server = "remot.dttb.ru:21116"
+nat_type = 1
+serial = 1
+
+[options]
+custom-rendezvous-server = "remot.dttb.ru"
+relay-server = "remot.dttb.ru"
+api-server = "https://remot.dttb.ru"
+key = "R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU="
+allow-websocket = "Y"
+verification-method = "use-permanent-password"
+approve-mode = "password"
+```
+
+## Способы развёртывания
+
+### Текущий (offline-friendly)
+1. Олег делает в Nextcloud public share-link (пока не сделано — отдельная ручная задача)
+2. Шлёт ссылку клиенту/технику
+3. Тот скачивает свою папку → запускает скрипт → готово
+
+### Будущее — one-liner
+Положить скрипт на rustdesk-api сервер (или public path в NPM):
+- `irm https://remot.dttb.ru/install/win.ps1 | iex` (Win)
+- `curl -sL https://remot.dttb.ru/install/linux.sh | sudo bash` (Linux)
+
+Скрипт автоматически качает installer с github.
+
+### Будущее — Strategy
+В админке `/_admin/` → Configuration Strategy → создать policy с настройками. Push'ит конфиг существующим клиентам автоматически. Требует чтобы клиент изначально знал api-server URL — то есть всё равно первичная установка нужна.
+
+### Будущее — `rustdesk-licensed-XXXXXXXX.exe` trick
+RustDesk при первом запуске парсит своё имя файла, если оно соответствует formату — применяет встроенный config. Требует утилиту шифрования config (rustdesk-utils 2.x от lejianwen-pro). Наш `rustdesk-utils` 1.1.14 этого не умеет — нужно скачать pro-версию отдельно или использовать веб-инструмент https://aps.lejianwen.com.
+
+### Будущее — WinRM/SSH push для существующих машин
+Уже есть NetBird-подключение к большинству Windows-клиентов (Volkkent, Glavtorg, ММФБ, Зеленоград). Можно через `Invoke-Command` или `pywinrm` развернуть скрипт удалённо без участия пользователя.
+
+## Безопасность
+
+- **Public link на скачивание лучше с паролем** — в установщике зашит `key=R0lA...`, кто угодно скачавший может зарегистрировать себя как peer на нашем сервере. MUST_LOGIN отбивает подключения, но heartbeat-флуд возможен.
+- **Permanent password** случайный per-машина, в файле с chmod 600
+- **`MUST_LOGIN=Y` на сервере** — каждый peer должен залогиниться в API после установки. Скрипт этого пока **не делает** — клиент должен залогиниться вручную в RustDesk UI (Settings → Account) или через web `/_admin/`. Автоматизация login через скрипт = отдельная задача (нужен service-token / OIDC).
+
+## Известные ограничения
+
+- **Windows ARM64** — не поддерживается RustDesk 1.4.6 (нет нативного installer'а). Используется x86_64 в эмуляции.
+- **Android** — apk без auto-config; пользователь вручную вводит ID/relay/api/key. Автоматизация для Android = другая задача (Intent URL scheme или MDM push).
+- **iOS** — RustDesk через App Store, конфиг через QR-код или Universal Link. Не покрыто текущим пакетом.
+- **macOS** — без auto-permanent-password (sandboxing CLI ограничен). Пользователь делает через UI.
+- **`MUST_LOGIN` post-install** — после установки клиент вынуждены вручную залогиниться. Без login peer виден как online в hbbs, но connections к нему отбрасываются.
+
+## TODO / следующие шаги
+
+- [ ] Олег создаёт public share-link в Nextcloud (с паролем), кладёт ссылку в `snippets/clients/`
+- [ ] Подготовить **one-liner-скрипты** на сервере (NPM static path `/install/` → S3 или rustdesk-api resources/public)
+- [ ] **Configuration Strategy** в админке lejianwen-api — push config existing peers
+- [ ] Скачать `rustdesk-utils` 2.x (lejianwen-pro) для генерации `rustdesk-licensed-*.exe` — single-file deployment без скриптов
+- [ ] **Auto-login через скрипт** — создать service-юзера в API с фиксированным password, скрипт логинится этим юзером во время install. После установки админ через `/_admin/` переносит peer в нужную группу.
+- [ ] **WinRM bulk-deploy** — список существующих NetBird-managed Windows-машин + Ansible/PowerShell job по разворачиванию
+
+## Связанные файлы
+
+- [[projects/dttb/rustdesk]] — справочник по серверу
+- [[../decisions/2026-04-28-rustdesk-lejianwen-pro-migration]] — миграция с OSS на pro
+- В Nextcloud: `RustDesk install/` (этот пакет)
+- На LXC 116: `/root/RustDesk2.toml` (шаблон)
+- На LXC 116: `/root/rustdesk-backup-20260428-1134/admin-password.txt` (admin pw для api)

decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md

@@ -0,0 +1,56 @@
+---
+date: 2026-04-30
+type: decision
+tags: [decision, niikn, network, dns, podkop]
+---
+
+# 2026-04-30: Открыть culture.gov.ru из НИИКН (DNS override)
+
+## Проблема
+
+Сотрудники НИИКН — не открывается `https://culture.gov.ru/` (Минкультуры РФ).
+
+## Диагноз
+
+По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
+
+| Точка | HTTP | Real IP |
+|-------|------|---------|
+| Mac (Ростелеком Истра) | 200 | 194.190.9.31 |
+| pve-niikn vmbr0 (МТС B2B) | 200 | 194.190.9.31 |
+| OpenWrt 192.168.1.50 nslookup → sing-box (127.0.0.42) | — | **198.18.0.96 (FakeIP)** |
+| OpenWrt curl через AWG | 000 | (Минкульт блочит зарубежные IP) |
+
+МТС B2B не блочит, сайт живой. **Причина** — `culture.gov.ru` подпадает под podkop community-list, DNS подменяется FakeIP, трафик уходит в awg0 Финляндию, оттуда Минкульт даёт Forbidden/timeout. Тот же паттерн, что `zakupki.gov.ru` и `sev.gov.ru`.
+
+## Решение
+
+OpenWrt `192.168.1.50` — добавлен домен в dnsmasq `server=`:
+
+```bash
+ssh root@192.168.1.50
+uci add_list dhcp.@dnsmasq[0].server='/culture.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+NetBird route **НЕ требуется**.
+
+## Проверка
+
+```
+DNS 192.168.1.50:    culture.gov.ru → 194.190.9.31, 194.190.9.32
+pve-niikn curl:      HTTP 200, 74 ms через МТС WAN
+```
+
+Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
+
+## Текущий список dnsmasq override на 192.168.1.50
+
+```
+'127.0.0.42'                  # podkop sing-box
+'/nspd.gov.ru/8.8.8.8'        # + NetBird route 2.63.246.0/24
+'/zakupki.gov.ru/8.8.8.8'     # только DNS
+'/sev.gov.ru/8.8.8.8'         # только DNS
+'/culture.gov.ru/8.8.8.8'     # только DNS — добавлено сегодня
+```

decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md

@@ -0,0 +1,80 @@
+---
+date: 2026-04-30
+type: decision
+tags: [dttb, openwrt, adguard, podkop, dns, youtube-adblock]
+hosts: [10.0.0.1]
+---
+
+# OpenWrt HomeLab (10.0.0.1): AdGuard Home в DNS-цепочке, фильтры YouTube
+
+## Контекст
+
+На роутере 10.0.0.1 (OpenWrt 24.10.3, Mediatek Filogic) установлен `adguardhome 0.107.57-r1`, но трафик клиентов LAN его **обходил**. dnsmasq форвардил `127.0.0.42` (sing-box подкопа), AGH слушал `127.0.0.1:5353` без клиентов. user_rules в yaml были повреждены (куски Python-листа с залипшими кавычками). Цель — реальная блокировка рекламы для всей сети, в т.ч. максимум возможного для YouTube.
+
+## Решение — гибридная схема
+
+```
+LAN client → dnsmasq:53 → AGH:5353 → sing-box:127.0.0.42 → upstream
+```
+
+AGH ставится между dnsmasq и sing-box: блокирует ad-домены до sing-box, а sing-box продолжает делать fakeip и роутить подкоп-домены. Это отличается от двух канонических схем `podkop.net/docs/adguard/` (Схема 1: AGH на 127.0.0.10:53 как upstream подкопа; Схема 2: AGH перед подкопом для клиентов), но проще и сохраняет всю существующую логику подкопа.
+
+## Изменения
+
+### `/etc/adguardhome.yaml`
+- `dns.upstream_dns` → `127.0.0.42` (sing-box, единственный)
+- Добавлены фильтры:
+  - `HaGeZi Pro mini` — https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.mini.txt
+  - `BlocklistProject YouTube` — https://blocklistproject.github.io/Lists/youtube.txt
+  - `GoodbyeAds YouTube AdBlock` — https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Hosts/GoodbyeAds-YouTube-AdBlock.txt
+- `user_rules` очищены от мусора, оставлены работающие правила: `googlesyndication.com`, `doubleclick.net`, `youtube.com/{api/stats/watchtime,ptracking,pagead,ads,get_midroll}*`, `googlevideo.com/get_video_info*`, `pagead2.googlesyndication.com`, `static.doubleclick.net`, `stats.g.doubleclick.net`, `googleads.g.doubleclick.net`, `ads.yandex.ru`, `mc.yandex.ru`, `metrika.yandex.ru`, `yandex.ru/ads`, `*.yandex.ru/ads`, `dzen.ru/ads`, `ads.vk.com`, `vk.com/ads`, `top-fwz1.mail.ru`, `adfox.ru`
+
+### UCI
+```
+uci set podkop.settings.dont_touch_dhcp='1'        # подкоп больше не переписывает dhcp
+uci -q delete dhcp.@dnsmasq[0].server
+uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5353'
+uci commit podkop && uci commit dhcp
+/etc/init.d/adguardhome restart
+/etc/init.d/dnsmasq restart
+```
+
+### Бэкапы (на роутере)
+- `/etc/adguardhome.yaml.bak.20260430_001129`
+- `/etc/config/dhcp.bak.20260430_001129`
+
+## Верификация
+
+| Запрос на `10.0.0.1` | Ответ | Проверяет |
+|---|---|---|
+| `doubleclick.net` | `0.0.0.0` | AGH режет ad-домен |
+| `pagead2.googlesyndication.com` | `0.0.0.0` | YouTube ad-эндпоинт |
+| `wikipedia.org` | `185.15.59.224` | обычный сайт работает |
+| `youtube.com` | `198.18.1.77` | fakeip подкопа цел |
+
+## Граничные случаи / что НЕ блокируется
+
+DNS-блокировка убирает рекламную **телеметрию, баннеры, midroll-API** YouTube. **In-stream-ролики** в самих видео сидят на `*.googlevideo.com` (CDN видео) — DNS их разделить не может. Полная блокировка — только клиентом: uBlock Origin (Firefox/Chrome), SponsorBlock, ReVanced/NewPipe (Android), FreeTube (desktop).
+
+## Откат
+
+```bash
+ssh root@10.0.0.1 "cp /etc/adguardhome.yaml.bak.20260430_001129 /etc/adguardhome.yaml \
+ && cp /etc/config/dhcp.bak.20260430_001129 /etc/config/dhcp \
+ && uci set podkop.settings.dont_touch_dhcp=0 && uci commit podkop \
+ && /etc/init.d/adguardhome restart && /etc/init.d/dnsmasq restart"
+```
+
+## Запомнить (грабли)
+
+- `127.0.0.42` и `127.0.0.53` — зарезервированы подкопом и системой, не использовать как listen для других сервисов (`podkop.net/docs/adguard/`).
+- При `dont_touch_dhcp=0` подкоп при каждом start переписывает `dhcp.@dnsmasq[0].server` на `127.0.0.42`, кладя предыдущее в `podkop_server`. Любая ручная замена upstream без `dont_touch_dhcp=1` не переживёт перезапуск.
+- AGH-веб: http://10.0.0.1:3000 (admin / хеш в yaml).
+- SSH `root@10.0.0.1` с `1qaz!QAZ` **работает** — старая запись в `projects/dttb/openwrt-router.md` про "SSH не работает" устарела.
+
+## Ссылки
+
+- [[../projects/dttb/openwrt-router]] — карточка роутера
+- [[2026-04-17-peredelki-podkop-stability-fix]] — справка по подкопу (схемы AGH, fakeip 198.18.0.0/15)
+- https://podkop.net/docs/adguard/
+- https://podkop.net/docs/dont-touch-my-dhcp/

decisions/2026-04-30-rustdesk-pre-prod-audit.md

@@ -0,0 +1,192 @@
+---
+date: 2026-04-30
+type: audit
+tags: [rustdesk, security, audit, hardening]
+---
+
+# RustDesk pre-production audit + fixes
+
+## Контекст
+
+Перед запуском RustDesk-сервера в продакшн (для удалённого доступа клиентских организаций + личного использования) — системный аудит security, reliability, operations. Findings + примененные fixes.
+
+## Findings & fixes
+
+### 🔴 Critical (исправлено)
+
+#### 1. Права на критичные файлы 644 → 600/640
+
+**Что было:** все sensitive файлы на LXC 116 были world-readable (`-rw-r--r--`):
+- `/var/lib/rustdesk-server/id_ed25519` (**приватный ключ сервера**)
+- `/var/lib/rustdesk-server/id_ed25519.pub`
+- `/var/lib/rustdesk-server/db_v2.sqlite3*` (hbbs БД с peers UUID)
+- `/var/lib/rustdesk-api/data/rustdeskapi.db` (хеши паролей юзеров, токены сессий)
+- `/var/lib/rustdesk-api/conf/config.yaml` (содержит **JWT secret** и `key`)
+
+**Риск:** при компрометации любого non-root юзера на LXC 116 → leak приватного ключа сервера → весь парк клиентов перестаёт быть приватным; возможность подделки JWT и login as admin.
+
+**Fix (2026-04-30):**
+```bash
+chmod 600 /var/lib/rustdesk-server/id_ed25519*
+chmod 640 /var/lib/rustdesk-server/db_v2.sqlite3*
+chmod 640 /var/lib/rustdesk-api/data/rustdeskapi.db
+chmod 640 /var/lib/rustdesk-api/conf/config.yaml
+```
+
+#### 2. Нет logrotate для rustdesk-логов на 2GB-диске
+
+**Что было:** `/var/log/rustdesk-server/hbbs.log` ~260KB и rosт каждый день. На 2GB-диске LXC 116 (где уже 55% used) логи зальют диск за пару месяцев → сервер ляжет.
+
+**Fix (2026-04-30):** `/etc/logrotate.d/rustdesk`:
+```
+/var/log/rustdesk-server/*.log /var/log/rustdesk-server/*.error
+/var/log/rustdesk-api/*.log /var/log/rustdesk-api/*.error {
+    daily
+    rotate 14
+    compress
+    delaycompress
+    notifempty
+    missingok
+    copytruncate
+    su root root
+}
+```
+
+#### 3. Нет авто-бэкапа БД и ключей
+
+**Что было:** одна вручную сделанная копия `/root/rustdesk-backup-20260428-1134/`. Если завтра LVM упадёт — теряем весь стейт (peers, users, ключи).
+
+**Fix (2026-04-30):** cron daily 03:00 → `/usr/local/bin/rustdesk-backup.sh`:
+- tar.gz в `/root/rustdesk-backups/rustdesk-YYYYMMDD.tar.gz`
+- ключи + обе БД + config.yaml + systemd overrides
+- retention 30 дней (find -mtime +30 -delete)
+- chmod 600 на каждый tarball
+
+**TODO:** доставить копии бэкапа на ArtLeon (off-site) через NetBird/rsync.
+
+### 🟡 Medium (исправлено)
+
+#### 4. Нет rate-limit на login → brute-force admin password
+
+**Что было:** `https://remot.dttb.ru/api/admin/login` принимал безlimit запросы. С учётом стандартного pw `1qaz!QAZ` — кто-то с словарём найдёт его за час.
+
+**Fix (2026-04-30):** в NPM `/data/compose/2/data/nginx/custom/http.conf`:
+```nginx
+limit_req_zone $binary_remote_addr zone=adminlogin:10m rate=5r/m;
+limit_req_zone $binary_remote_addr zone=apilogin:10m rate=10r/m;
+```
+
+В Proxy Host 14 advanced_config:
+```nginx
+location = /api/admin/login {
+    limit_req zone=adminlogin burst=3 nodelay;
+    proxy_pass http://10.0.0.244:21114;
+    ...
+}
+location = /api/login {
+    limit_req zone=apilogin burst=5 nodelay;
+    proxy_pass http://10.0.0.244:21114;
+    ...
+}
+```
+
+**Verified:** после 4 быстрых попыток — 503 от NPM. На уровне rustdesk-api также `ban-threshold: 5` забанит user-account на ~1 час.
+
+**Грабли при настройке:** `limit_req_zone` нельзя класть в `server`-контекст — только `http`. Первая попытка положить в advanced_config привела к удалению NPM proxy_host/14.conf и обвалу `remot.dttb.ru`. Восстановилось через disable/enable + переноса zone в http.conf.
+
+### 🟡 Medium (отложено)
+
+#### 5. NC public-link без пароля + содержит RustDesk2.toml с key
+
+**Что было:** `https://dttb.ru/s/wPm8oaiFEyz7Ywx` без пароля и без expiration. ZIP внутри содержит `key=R0lA4r77...`. Любой нашедший ссылку может зарегистрировать peer'а на нашем сервере.
+
+**Status:** **Nextcloud-AIO сейчас лежит** (502 from NPM upstream), новую share создать не получается. Спавнен отдельный task на восстановление NC. После — пересоздать share с паролем + 30 дней expiration.
+
+**Митigation в текущем виде:** `MUST_LOGIN=Y` отбивает входящие connections к незалогиненным peers. Кто-то регистрируется как peer — heartbeat-флуд возможен, но connections не пройдут.
+
+#### 6. Security headers не наследуются в location /
+
+**Что было:** HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy не появляются в response от `https://remot.dttb.ru/_admin/`.
+
+**Корневая причина:** NPM в template для Proxy Host генерит `location /` со встроенным `add_header X-Served-By` (через include `proxy.conf`). По правилу nginx — если в location есть **хоть один** add_header, наследование от server-block отключается. Мои `add_header` в advanced_config (server-level) не применяются к location /.
+
+**Fix-варианты (выбран wait):**
+- (a) Patch NPM template `/etc/nginx/conf.d/include/proxy.conf` чтобы добавить headers — теряется при container recreate
+- (b) Использовать `more_set_headers` (модуль ngx_headers_more) — нужно проверить что он есть в openresty
+- (c) Override `location /` в advanced_config с явными add_header — конфликт с NPM-сгенерированным location /
+- (d) **Принять как cosmetic** — TLS 1.2/1.3 + LE cert + rate-limit обеспечивают основную защиту; HSTS на server-level записан в nginx.conf (не на response).
+
+**Status:** **отложено** как cosmetic. Если будем делать (b) или (a) — отдельной задачей.
+
+### 🟢 Low / Informational
+
+| Item | Status |
+|---|---|
+| Server header раскрывает `openresty` | Accept (мелкий fingerprinting, не критично) |
+| `show-swagger: 1` в API | Accept (Олег использует для разработки) |
+| TLS 1.2 + 1.3, intermediate ciphers | ✅ optimal |
+| LE cert valid until 28 June 2026 | ✅ auto-renew |
+| Block Common Exploits (NPM) | ✅ enabled на host 14 |
+| `block_exploits: true`, `caching_enabled: false` | ✅ verified |
+| `register: false` в API | ✅ закрытая система |
+| `ban-threshold: 5`, `captcha-threshold: 3` | ✅ enabled |
+| `MUST_LOGIN=Y` | ✅ enforced (видно в hbbs.log) |
+| RustDesk peers версии | 1.4.6 (latest stable) |
+| Disk LXC 116 free | 826 MB / 2 GB (55% used) — monitoring |
+| RAM LXC 116 used | 105M / 512M — большой запас |
+| NPM compose ports 21115-21119 | ✅ exposed после 2026-04-29 update |
+
+## Что осталось сделать (production todo)
+
+### Перед массовым deploy
+- [ ] Восстановить Nextcloud (отдельный task)
+- [ ] Создать share-link с паролем + expiration после восстановления NC
+- [ ] Создать минимум 2 группы в `/_admin/` (например `НИИКН`, `Клиенты-Internal`)
+- [ ] Настроить **Configuration Strategy** в админке lejianwen — push настроек существующим клиентам автоматически
+- [ ] Off-site бэкап `/root/rustdesk-backups/*.tar.gz` на ArtLeon через rsync over NetBird (cron weekly)
+
+### Полезное (не блокирует prod)
+- [ ] `more_set_headers` фикс security headers
+- [ ] fail2ban на NPM access logs (поверх rate-limit) — extra слой против distributed brute-force
+- [ ] Monitoring: alert на падение rustdesk сервиса (через watchyourlan/zabbix/uptime-kuma)
+- [ ] Auto-login клиента в API через service-token (упрощает onboarding)
+- [ ] `rustdesk-utils` 2.x для single-file `rustdesk-licensed-*.exe` deployment
+
+### Долгосрочное
+- [ ] Через 1-2 месяца — миграция в Docker `lejianwen/rustdesk-server-s6` (Вариант A3)
+- [ ] HA-схема на втором экземпляре (НИИКН Proxmox) с общей MySQL
+- [ ] MCP-обёртка поверх Swagger API для управления из Claude Code
+
+## Верификация
+
+```bash
+# Permissions OK
+ssh root@10.0.0.250 "pct exec 116 -- ls -la /var/lib/rustdesk-server/id_ed25519"
+# → -rw------- 1 root root 88 Oct 10  2025
+
+# Logrotate OK
+ssh root@10.0.0.250 "pct exec 116 -- logrotate -d /etc/logrotate.d/rustdesk"
+# → "considering log /var/log/rustdesk-..."
+
+# Auto-backup ran
+ssh root@10.0.0.250 "pct exec 116 -- ls -la /root/rustdesk-backups/"
+# → rustdesk-20260430.tar.gz
+
+# Rate-limit работает
+for i in {1..6}; do
+  curl -ks -o /dev/null -w "%{http_code} " -X POST https://remot.dttb.ru/api/admin/login \
+    -H "Content-Type: application/json" -d '{"username":"x","password":"y"}'
+done
+# → 200 200 200 200 503 503
+
+# Сервер отвечает
+curl -ksI https://remot.dttb.ru/_admin/ | head -1
+# → HTTP/2 200
+```
+
+## Связанные
+
+- [[../projects/dttb/rustdesk-runbook]] — операционный runbook (создан этим audit'ом)
+- [[2026-04-28-rustdesk-lejianwen-pro-migration]] — миграция с OSS
+- [[2026-04-29-rustdesk-client-deployment-package]] — пакет установки клиентов
+- [[../projects/dttb/rustdesk]] — справочник

decisions/2026-05-02-apple-id-tj-via-residential-proxy.md

@@ -0,0 +1,151 @@
+---
+date: 2026-05-02
+type: decision
+tags: [decision, apple-id, tajikistan, proxy, residential]
+---
+
+# 2026-05-02: Apple ID TJ через residential proxy (без VPS, без резидентства)
+
+## Проблема
+
+Нужен Apple ID с регионом **Таджикистан** (для AppStore TJ — там разрешены AmneziaVPN, Happ и другие приложения, заблокированные в RU AppStore).
+
+Прямые пути не работают:
+
+- **TJ-VPS** требуют KYC + резидента (паспорт TJ + ИНН). Все локальные провайдеры (Babilon-T, GlobexCamHost, Navicosoft, Hoster.tj, Serversinasia) отказывают нерезидентам, даже за крипту.
+- **Международные хостеры** с TJ-нодой — Evoxt анонсировал, но `/locations` 404; реально TJ-локации почти нет ни у кого крупного.
+- **Своя SIM в TJ** — требует физического присутствия (у Олега виза есть, но ехать ради Apple ID не вариант).
+
+## Анализ
+
+Apple проверяет регион по **GeoIP исходящего соединения** в момент регистрации. После создания Apple ID привязан к региону постоянно — IP больше не нужен. То есть VPS избыточен — нужен **TJ-IP на 1 час разово**.
+
+### Сравнение proxy-провайдеров с TJ
+
+| Провайдер | TJ IPs | Типы | Цена | Особенность |
+|---|---|---|---|---|
+| **IPRoyal** | 285 617 | residential, mobile 4G/3G | mobile от $10/день, residential ~$7/GB | Самый большой пул, надёжный |
+| **Litport** | 38 656 | residential, mobile 3G/4G/5G, ISP, datacenter | по запросу | Полный набор, в т.ч. ISP |
+| **Soax** | 10 800 | residential, mobile 4G/5G | от $2/GB на больших планах, trial $1.99/400MB/3 дня | Чистые IP, дешёвый trial |
+| **BrightData** | премиум | residential, mobile, ISP, datacenter | дорого | Стандарт индустрии |
+| **LumiProxy** | н/д | residential, mobile, ISP, datacenter | по запросу | 4G/LTE TJ |
+| **Databay** | н/д | mobile 4G/5G | по запросу | Carrier-level targeting |
+
+## Решение
+
+Связка **IPRoyal Royal Residential pay-as-you-go + grizzlysms TJ-номер**.
+
+Soax исключён — сайт плохо работает из RU (ISP DPI / Cloudflare anti-bot), trial не получить без VPN.
+IPRoyal стабильно открывается из RU, сайт не блочат, оплата картой/PayPal/криптой.
+
+### Шаги
+
+1. **Купить TJ SMS-номер** на [grizzlysms.com](https://grizzlysms.com) (~$0.43, сервис Apple).
+2. **Купить IPRoyal Royal Residential** [iproyal.com](https://iproyal.com) → Pay as you go, минимум **$7 за 1 GB** (хватит на 5+ регистраций):
+   - Sign Up → Products → Royal Residential Proxies → Pay as you go
+   - Оплата: Wise/foreign Mastercard / PayPal / **Crypto BTC/ETH/USDT** (крипта без KYC)
+3. **Получить базовые credentials** в Dashboard → Royal Residential → Proxy List (host/port/user/pass).
+   - В UI устанавливать Country/Sticky **не нужно** — параметры передаются через password-модификаторы (см. шаг 4).
+4. **Сформировать endpoint с TJ + sticky** через password-модификаторы IPRoyal:
+   ```
+   host: geo.iproyal.com
+   port: 12321
+   user: <BASE_USER>
+   pass: <BASE_PASS>_country-tj_session-<любая-метка>_lifetime-30m
+   ```
+   Важно: `country-tj` (lowercase ISO), не `country-Tajikistan` (последнее не работает, возвращает пустоту).
+5. **Проверить IP**:
+   ```bash
+   curl -x "http://USER:PASS_country-tj_session-test01_lifetime-30m@geo.iproyal.com:12321" https://ipinfo.io
+   ```
+   Подтверждено 2026-05-03: вернулся `185.177.2.130`, Dushanbe, country `TJ`, ASN `AS51346 Tojiktelecom`, timezone `Asia/Dushanbe`. Apple примет такой IP.
+6. **Зарегистрировать Apple ID** на [appleid.apple.com](https://appleid.apple.com):
+   - страна: Tajikistan
+   - адрес: любой реальный из Душанбе (Google Maps → жилой дом)
+   - телефон: TJ-номер из шага 1, SMS-код принять в grizzlysms
+   - **способ оплаты: «Нет / None»** (опция доступна только при регистрации через веб с TJ-IP)
+7. **Войти на iPhone** с этим Apple ID. После первой авторизации IP-проверка отпадает — proxy можно отключить.
+
+### Бюджет
+
+~$8 разово (TJ SMS $0.43 + IPRoyal 1 GB $7 + резерв). 1 GB трафика хватает на 5-10 регистраций Apple ID.
+
+## Подводные камни
+
+- **Datacenter proxy не подходит** — Apple использует MaxMind + собственные блок-листы DC ASN. Только residential или mobile.
+- **Регистрировать с того же IP, с которого первый раз залогинишься** — иначе риск flagging аккаунта.
+- **Не входить с RU-IP в первые 24 часа** — Apple может заблокировать "fraud detection". Использовать NetBird exit-node Finland (Trance group) до первого входа на iPhone.
+- **TJ-карту привязывать не нужно** — для бесплатных приложений (AmneziaVPN, Happ, Telegram alts) оплата не требуется. Если потребуется — Wise multi-currency или PayPal.
+
+### TJ-IP сам по себе НЕДОСТАТОЧЕН
+
+Apple палит «русского пользователя» по нескольким сигналам одновременно. Подтверждено 2026-05-03:
+- **Accept-Language** — Firefox по умолчанию шлёт `ru-RU`. Apple читает → показывает «Россия» внизу страницы → отказывается слать SMS на TJ-номера. Лечится `about:config` → `intl.accept_languages` = `tg-TJ, tg, en-US, en`.
+- **Cookies от прошлых посещений apple.com** — даже на новом профиле могут протекать через sync. Лечится приватным окном (Cmd+Shift+P).
+- **WebRTC** — обязательно `media.peerconnection.enabled = false` + `media.peerconnection.ice.default_address_only = true`.
+- **Country/Region в форме регистрации** — нужно **вручную выбрать Tajikistan**, Apple по умолчанию ставит US.
+- **Footer страницы apple.com** — должно быть «Tajikistan», не «Россия»/«United States». Это критическая проверка ДО заполнения формы.
+- **@icloud.com нельзя на этапе регистрации** — Apple даёт его только ПОСЛЕ создания Apple ID, в iCloud settings. Используй внешний email (proton.me лучший выбор).
+
+### SMS-блок Apple
+
+Grizzlysms TJ-pool **полностью забанен** Apple на текущий момент (2026-05-03): любой номер оттуда даёт «Verification codes cannot be sent to this phone number at this time», даже после успешного Country=Tajikistan + footer=Tajikistan. После 2-3 неудачных попыток Apple ставит soft-cooldown 1-2 часа на IP-сессию.
+
+**Альтернативные SMS-сервисы для TJ Apple:**
+- **5sim.net** — другой пул, проверять первым
+- **sms-activate.io** — большой пул, но Apple часть знает
+- **smshub.org** — премиум, реже банят
+
+**Формат корректного TJ-номера:** `+992 9X XXX XXXX` (мобильный, операторы 90/91/92/93/95/98). Префиксы 4X/7X/8X (фиксированные) Apple не принимает.
+
+## Альтернативы (если Soax trial не подойдёт)
+
+- **IPRoyal pay-as-you-go** residential — без trial, но pay-as-you-go от $7/GB.
+- **Litport mobile** — настоящие 4G IPs местных операторов TJ (Babilon-Mobile AS204106, TT Mobile AS43197, Tacom/Beeline AS34557).
+
+## Альтернативный путь: покупка US Adidas-аккаунта + смена региона на TJ
+
+Когда самостоятельная регистрация через virtual SMS не идёт (Apple блочит весь grizzlysms TJ-pool), можно купить готовый US Adidas Apple ID за 100-300 ₽ и сменить регион на TJ.
+
+**Когда подходит:** платёжная стратегия "карта на нуле, пополнение перед покупкой" — потеря аккаунта не критична.
+
+**Workflow:**
+1. Покупка US Apple ID (массовые "Adidas" аккаунты, без payment method, 2FA через trusted devices, не SMS).
+2. Проверка жизнеспособности на appleid.apple.com — не должно быть pending verification.
+3. **Очистка следов продавца в правильном порядке:** смена пароля → удаление recovery contacts → удаление recovery key → удаление чужих trusted devices → смена recovery email на свой → перевыбор security questions.
+4. **Пауза 24-48 часов** — проверять что продавец не пытается восстановить через forgot password.
+5. **Смена региона US → TJ через Firefox с TJ-proxy** — Personal Information → Country/Region → Tajikistan → Payment Method: None.
+6. На iPhone: **Настройки → текущий Apple ID → Медиа и покупки → Sign Out** (только App Store, НЕ iCloud) → войти под новым TJ-аккаунтом.
+7. Когда появится TJ-карта — привязка через Payment & Shipping (на ненулевом балансе для $1 hold).
+
+**Риски:**
+- Продавец сохраняет recovery key/devices/email — может вернуть. Очистка в шаге 3 минимизирует, но не на 100%.
+- Apple anti-fraud может flagнуть смену региона US → TJ + TJ residential proxy + новая карта в первый месяц — до бана аккаунта. Поэтому **не привязывать критичную TJ-карту в первый месяц**.
+- Adidas-пакеты массовые → Apple периодически их банит за нарушение TOS (создание сериями).
+
+**Когда НЕ подходит:** долгосрочное хранение Apple Cash, привязка карт с большим балансом, использование как primary iCloud (там этот US Apple ID лучше не использовать вообще, только App Store).
+
+## Статус на 2026-05-06
+
+**Прогресс:**
+- ✅ IPRoyal Royal Residential куплен (1 GB pay-as-you-go), TJ residential подтверждён рабочим (см. [[../snippets/iproyal-gost-relay]])
+- ✅ Локальный gost-relay отлажен (порт 9999 для TJ, 9998 для FI), FoxyProxy multi-port
+- ✅ Firefox настроен: `intl.accept_languages = tg-TJ`, WebRTC отключён, приватное окно
+- ✅ Apple footer показывает «Tajikistan» при правильной комбинации IP + locale + cookies-чистка
+- ✅ US Adidas-аккаунт куплен (`hbuggle819@icloud.com`), 2FA через trusted devices, карта привязана
+- ⚠️ **Сложности с virtual SMS** — grizzlysms TJ-pool забанен Apple, требуются альтернативы (5sim, smsbower) или реальная TJ SIM
+- ⚠️ **Митинский радиорынок «высох»** (2026-05-04 проверено лично): продажа TJ-SIM мигрантам сократилась после ужесточения ФЗ-178. Альтернативные источники: Avito с доставкой (1500-3500 ₽), Telegram-каналы, знакомые в TJ
+- 🔴 **Регион US Adidas пока не менялся на TJ** — ждём реальную TJ-SIM либо premium DID. Аккаунт пока используется только для скачивания приложений.
+
+**Текущий план:**
+1. Найти реальную TJ SIM-карту (Avito / Telegram / знакомые)
+2. После получения SIM — менять регион Adidas-аккаунта на TJ через TJ-IP (gost), привязка к новой TJ-карте
+3. До этого момента — US Adidas-аккаунт используется только в App Store на iPhone для скачивания заблокированных в RU приложений (по схеме [[../snippets/apple-id-us-on-russia]])
+
+**Параллельная находка:** Google гораздо строже Apple к virtual SMS — на TJ-IP при регистрации нового @gmail сразу требует QR-верификацию через trusted device. Web-регистрация Google под TJ через grizzlysms — путь в тупик, требует Android-эмулятор или готовый купленный аккаунт.
+
+## Связанные
+
+- [[../README]] — индекс vault
+- TODO в MEMORY был «отложено с 2026-04-23», теперь активирован.
+- Решение по `snippets/clients/` для US Apple ID на RU iPhone — структурно тот же подход (proxy + foreign SMS).

decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md

@@ -0,0 +1,136 @@
+---
+date: 2026-05-04
+type: decision
+status: рабочее
+tags: [decision, niikn, mmfb, network, netbird, nspd, fix]
+---
+
+# 2026-05-04: NSPD из НИИКН — финальная схема через NetBird → pve-LionART
+
+## Контекст
+
+После отката WG-туннеля 2026-04-20 (общее замедление трафика) NSPD-bypass был на стороне NetBird Networks. Сегодня клиенты НИИКН пожаловались "не работает даже через NetBird и другие сайты тоже".
+
+## Что нашёл
+
+1. **Сетевая часть исправна** — netbird route `nspd-bypass` (2.63.246.0/24) активен, трейс `pve-niikn → 100.70.128.49 (pve-lionart) → 10.253.1.1 (MikroTik LionART)` работает. С `pve-niikn` `curl -k https://nspd.gov.ru/` отдаёт `HTTP:200`.
+2. **Цепочка для клиентов разорвана в трёх местах:**
+   - OpenWrt 192.168.1.50: пропал `dnsmasq override` для `nspd.gov.ru` → podkop ловит в FakeIP `198.18.x.x` → AWG → Финляндия → блок (НСПД режет foreign IP).
+   - MikroTik 192.168.1.1: нет static route `2.63.246.0/24 → 192.168.1.201` (pve-niikn) → пакеты идут в default WAN → MTS WAF блок.
+   - pve-niikn: нет SNAT/MASQUERADE для `192.168.1.0/24 → wt0` → пакеты приходили на pve-lionart с приватным src → asymmetric routing.
+3. **TLS-сертификат** NSPD выпущен `Russian Trusted Sub CA` (Минцифра, valid from 2026-01-23). Chrome/Edge без ru-trust → `ERR_CERT_AUTHORITY_INVALID`. Yandex Browser работает нативно. Попутный артефакт: `curl` из OpenWrt 24.10 на mbedTLS не парсит ASN.1 этого cert (`X509 - The name tag or value is invalid`) — но это не проблема пользователей.
+
+## Применённый фикс
+
+### 1. OpenWrt (192.168.1.50) — DNS-override
+
+```bash
+ssh root@192.168.1.50  # 1qaz!QAZ
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
+uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+rm -f /tmp/sing-box/cache.db
+/etc/init.d/sing-box restart
+```
+
+Проверка: `nslookup nspd.gov.ru 127.0.0.1` → `2.63.246.x` (НЕ 198.18.x.x).
+
+### 2. MikroTik НИИКН (192.168.1.1) — static route
+
+```
+/ip/route/add dst-address=2.63.246.0/24 gateway=192.168.1.201 \
+    comment="NSPD via NetBird->LionART"
+```
+
+### 3. pve-niikn (192.168.1.201 / 100.70.120.229) — SNAT на wt0
+
+```bash
+iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wt0 \
+    -m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
+```
+
+Persist через systemd unit `/etc/systemd/system/iptables-nspd-restore.service` (idempotent: `iptables -C ... || iptables -A ...`).
+
+## Подтверждение работы
+
+```
+# tcpdump на vmbr0 при curl с OpenWrt → nspd.gov.ru:443
+192.168.1.50 > 2.63.246.73:443  Flags [S]    ← клиент
+2.63.246.73:443 > 192.168.1.50  Flags [S.]   ← НСПД отвечает!
+192.168.1.50 > 2.63.246.73:443  Flags [P.] len 276   ← TLS ClientHello
+2.63.246.73:443 > 192.168.1.50  Flags [.] len 1228   ← TLS ServerHello+Cert
+... full data flow ...
+```
+
+## Что нужно от пользователей
+
+- **Yandex Browser** — открывают `nspd.gov.ru` сразу (встроенно доверяет Минцифре).
+- **Chrome/Edge/Firefox** — установить ru-trust сертификаты с https://www.gosuslugi.ru/crt:
+  - `russian_trusted_root_ca.cer` → Trusted Root Certification Authorities
+  - `russian_trusted_sub_ca.cer` → Intermediate Certification Authorities
+  
+  PowerShell от админа (через RustDesk):
+  ```powershell
+  $tmp=$env:TEMP
+  iwr https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer -OutFile $tmp\r.cer
+  iwr https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer  -OutFile $tmp\s.cer
+  Import-Certificate -FilePath $tmp\r.cer -CertStoreLocation Cert:\LocalMachine\Root
+  Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
+  ```
+
+## Распространение на другие гос-сайты
+
+Тот же ru-trust cert у `culture.gov.ru`, `gosuslugi.ru`, `rosreestr.gov.ru` (последний ещё блокирует MTS-IP отдельно — нужен такой же bypass через LionART).
+
+### 2026-05-04 — добавлены zakupki и telemost
+
+Аналогичная схема (без TLS-cert проблем — `zakupki.gov.ru` имеет GlobalSign cert, `telemost.yandex.ru` тоже стандартный).
+
+NetBird Routes API (`POST /api/routes`):
+- `zakupki-bypass` → `95.167.245.0/24` (id `d7s61o2fadhs73bjk520`) → peer `cuisnd3l0ubs73bsbbl0` (pve-lionart)
+- `telemost-bypass` → `87.250.251.0/24` (id `d7s61oafadhs73bjk750`) → тот же peer
+
+MikroTik НИИКН:
+```
+/ip/route/add dst-address=95.167.245.0/24 gateway=192.168.1.201 comment="zakupki via NetBird->LionART"
+/ip/route/add dst-address=87.250.251.0/24 gateway=192.168.1.201 comment="telemost via NetBird->LionART"
+```
+
+pve-niikn — добавлен **MSS clamping** для wt0 (NetBird MTU=1280, br-lan/vmbr0=1500 → большие TCP-ответы дропались):
+```bash
+iptables -t mangle -A FORWARD -o wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+iptables -t mangle -A FORWARD -i wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
+```
+
+Не забыть `iptables-save > /etc/iptables/rules.v4` для persist (или дополнить `iptables-nspd-restore.service`).
+
+Известный артефакт: `lk.zakupki.gov.ru` (`94.25.27.250`) даёт TLS handshake failure даже с LionART — у него mTLS / ГОСТ-крипто-провайдер требуется. Решается локально на клиенте (КриптоПро/JaCarta), не сетевыми средствами.
+
+## Откат
+
+```bash
+# pve-niikn
+systemctl disable --now iptables-nspd-restore.service
+rm /etc/systemd/system/iptables-nspd-restore.service
+iptables -t nat -D POSTROUTING -s 192.168.1.0/24 -o wt0 \
+    -m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
+
+# MikroTik НИИКН
+/ip/route/remove [find comment="NSPD via NetBird->LionART"]
+
+# OpenWrt
+uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
+uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
+uci commit dhcp
+/etc/init.d/dnsmasq restart
+```
+
+## Связанные
+
+- [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](2026-04-20-niikn-nspd-bypass-via-lionart.md) — предыдущая попытка через WG-туннель MikroTik↔MikroTik, откачено
+- [projects/niikn/openwrt-bypass.md](../projects/niikn/openwrt-bypass.md) — раздел "Исключение доменов из проксирования"
+- [decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md](2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md) — другие gov-сайты
+
+## Теги
+`#niikn` `#mmfb` `#lionart` `#netbird` `#nspd` `#mikrotik` `#openwrt` `#fix`

decisions/2026-05-05-mac-dictation-groq-hammerspoon.md

@@ -0,0 +1,72 @@
+# 2026-05-05 — Mac dictation: Hammerspoon + Groq Whisper
+
+## Контекст
+Олег на Intel MacBook Pro (i9-9880H, 2019), нужна голосовая диктовка для русского. Все современные приложения (superwhisper PRO, VoiceInk, Spokenly Parakeet) либо требуют Apple Silicon, либо платную PRO-лицензию ($150-250). Бесплатный free-tier у superwhisper исчерпан и валидируется на их сервере (см. [feedback_superwhisper_no_license](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)).
+
+## Решение
+Свой скрипт + Hammerspoon + Groq Whisper API:
+- **Hammerspoon** ловит глобальный hotkey `⌘⇧D`
+- **Bash скрипт** toggle-режим: первый запуск → ffmpeg запись с микрофона; второй → стоп → POST в Groq → текст в `/tmp/groq-dictate.last`
+- **Lua callback** в Hammerspoon читает файл, кладёт в pasteboard, нажимает Cmd+V через `hs.eventtap.keyStroke`
+- **Groq Whisper-large-v3-turbo** — бесплатно ~14400 запросов/день, 0.5с на 4-сек запись, RU IP не блочится
+
+## Файлы
+- `~/bin/groq-dictate.sh` — скрипт записи + Groq POST + **fallback на whisper-cpp** + write to `/tmp/groq-dictate.last`
+- `~/bin/dictation-doctor.sh` — health-check всех компонентов (Hammerspoon / TCC / зависимости / Groq / mic / Fn-key); запускать когда «не работает»
+- `~/.hammerspoon/init.lua` — Fn (одиночное нажатие) trigger через eventtap, paste через `hs.eventtap.keyStroke`
+- `~/.cache/whisper-cpp/ggml-tiny-q5_1.bin` — 31MB локальная модель для offline fallback
+- Groq API key — в `reference_groq_api.md` private memory
+
+## Финальный hotkey
+**Fn (Globe) одиночное нажатие** — toggle (старт/стоп). Срабатывает быстрее ⌘⇧D, освобождает руки. Apple Dictation на двойное Fn остаётся (если не отключить «Нажатие клавиши Fn» в System Settings → Keyboard).
+
+## Критические грабли (и фиксы)
+1. **Hammerspoon Accessibility кеширует статус** — после Enable в System Settings нужен **`killall Hammerspoon && open -a Hammerspoon`**, иначе Hammerspoon продолжает показывать WARNING и hotkey не работает.
+
+2. **`hs.hotkey.bind({"cmd","shift"}, "d", ...)`** на русской раскладке выдаёт warning `key 'd' not found in active keymap; using ANSI-standard US keyboard layout as fallback, returning '2'`. Решение: **биндить по числовому keycode** — `hs.hotkey.bind({"cmd","shift"}, 2, ...)` (2 = физическая клавиша D). Так работает на любой раскладке.
+
+3. **`osascript -e 'tell application "System Events" to keystroke "v" using command down'`** на русской раскладке вместо Cmd+V вставляет UTF-8 байты текста как символы → получается мусор типа `—В—ь—А—∞—ь—В?` для строки «Ты меня слышишь?». Решение: **никогда не использовать `keystroke` для paste**. Использовать `hs.eventtap.keyStroke({"cmd"}, "v")` напрямую из Lua (отправляет настоящий low-level KeyDown event).
+
+4. **Toggle через PID-файл** — `/tmp/groq-dictate.pid`. Если процесс упал/убит — удалить руками. Скрипт устойчив: `kill -INT` корректно закрывает .wav, ждёт до 0.5с дописать заголовок.
+
+5. **ffmpeg avfoundation `:0`** = default mic. Если нужен другой — `ffmpeg -f avfoundation -list_devices true -i ""`.
+
+## Стоимость
+- Hammerspoon бесплатный
+- Groq бесплатный (14400 req/day, ~120 минут диктовки в день — намного больше нужного)
+- Итого: 0₽
+
+## Альтернативы которые НЕ подошли
+- **superwhisper** — free tier 530 сек, потом сервер бракует
+- **VoiceInk** — официально Apple Silicon only, на Intel CPU крутит большую модель часами
+- **Spokenly** — `cdn.spokenly.app` блокирует RU IP (3.8 KB/s), Parakeet требует Neural Engine
+- **Wispr Flow** — `dl.wisprflow.com` блокирует RU IP, плюс $144/год Pro для регулярного использования
+- **MacWhisper** — $59 lifetime + не пробовали (всё уже работало бесплатно)
+- **OpenWhispr** — 273MB dmg в GitHub, не докачался
+
+## Связано
+- [RU-заблокированные сервисы](../notes/ru-geoblocked-services.md)
+- [Groq API](../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md)
+- [Superwhisper — нет PRO](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)
+
+## Воспроизведение на новом Mac
+```bash
+brew install --cask hammerspoon
+brew install whisper-cpp jq ffmpeg
+mkdir -p ~/bin ~/.hammerspoon ~/.cache/whisper-cpp
+
+# скопировать ~/bin/groq-dictate.sh + ~/bin/dictation-doctor.sh → chmod +x
+# скопировать ~/.hammerspoon/init.lua
+
+# скачать локальную fallback-модель (31 MB, GitHub не блочит RU)
+curl -sSL -o ~/.cache/whisper-cpp/ggml-tiny-q5_1.bin \
+  "https://huggingface.co/ggerganov/whisper.cpp/resolve/main/ggml-tiny-q5_1.bin?download=true"
+
+open -a Hammerspoon
+# Hammerspoon Preferences → Enable Accessibility → System Settings → включить
+killall Hammerspoon && open -a Hammerspoon  # ОБЯЗАТЕЛЬНО после grant — кеш
+
+# System Settings → Клавиатура → Нажатие клавиши Fn → "Действие не требуется"
+~/bin/dictation-doctor.sh  # должно быть всё зелёное
+```
+Готово. **Fn → говори → Fn** — текст вставится в активное окно.

decisions/2026-05-06-kb-search-overhaul.md

@@ -0,0 +1,101 @@
+---
+date: 2026-05-06
+type: decision
+tags: [kb, openclaw, search, fts, infra, summary]
+status: applied
+---
+
+# Перестройка KB-поиска и синхронизации (8 фаз за один день)
+
+## Что было до
+
+Запрос «OpenWRT Липки» Максимке возвращал `netbird-inventory.md`, потому что:
+- слова «Липки» во всём vault'е была одна строка в табличке инвентаря,
+- слово «OpenWRT» статистически перевешивали НИИКН-документы (`govru-quickfix`, `niikn-openwrt-awg-fix`),
+- кросс-ссылок и aliases не было, embeddings не было,
+- лаг push→бот доходил до 16 минут (cron `*/5` Mac→Gitea + cron `*/15` Gitea→openclaw).
+
+Пользователь жаловался: «бот путает, я ему про Липки, он мне про НИИКН».
+
+## Что сделано
+
+| Фаза | Эффект |
+|---|---|
+| 1. Embeddings (ollama+bge-m3) | ⛔ откачено — openclaw 2026.5.2 при `provider: ollama` шлёт inputs целиком, ollama тратит >5 мин/запрос, undici fetch валится по headers timeout. ollama на LXC 132 готова (uptime, bge-m3 1024d), но сторона openclaw нуждается в фиксе chunking |
+| 2. Webhook + auto-reindex | Gitea push→listener (HMAC SHA-256)→`kb-pull.sh`→`openclaw memory index`. **push→FTS: 15 мин → 50 c**. См. [[../snippets/openclaw-kb-webhook]] и [[2026-05-06-openclaw-kb-webhook-deployment]] |
+| 3. objects-map.json + _index.md | Скрипт `scripts/kb-objects-map.py` парсит netbird-inventory + frontmatter и пишет JSON для бота + human-readable [[../projects/_index]]. Базовый структурный слой |
+| 4. Stubs + frontmatter | Создано 6 README (`znamenskoye`, `mmfb`, `lipki` уже был, + 4 stub'а клиентских OpenWrt). Обогащён frontmatter в `niikn`, `dttb`, `glavtorg`, `krasnogorsk`, `zelenograd` с aliases для netbird-имён. **38 → 14 orphan-пиров** |
+| 5.1. Слить дубли видео | Удалён `dttb/video-surveillance-report.md` (297 строк, неполная копия), canonical `videonablyudenie-znam.md` обогащён aliases |
+| 5.2. Архив audit/ | 18 устаревших drift-отчётов 2026-04-* перенесены в `audit/archive/`, в active остались 7 свежих |
+| 6. Recall + dreaming | `openclaw memory promote --apply`: 17/39 коротких воспоминаний переехали в долгую. `dreaming.enabled=true` (cron `0 3 * * *`). Weekly cron на promote |
+| 7. Расширенный kb-audit | Скрипт `scripts/kb-objects-audit.py` пишет еженедельный отчёт с score: проверяет frontmatter, online-orphans, битые wiki-ссылки. Первый запуск — score=84 (12/12 frontmatter ✓, 3 online orphan, 26 битых wiki) |
+| 8. UX бота | `memorySearch.query.minScore=0.4`, IDENTITY.md разводит двух Максимок (homelab vs НИИКН), INFRASTRUCTURE.md переписан как навигатор по vault'у |
+
+## Метрики до / после
+
+| Параметр | До | После |
+|---|---|---|
+| «OpenWRT Липки» top-1 | `netbird-inventory.md` ❌ | `projects/lipki/README.md` ✅ |
+| «Антон клиент Звенигород» top-1 | ничего | `projects/lipki/README.md` ✅ |
+| «AgentDVR ЧОП Знаменское» top-1 | три дубля | `videonablyudenie-znam.md` ✅ |
+| «Константин Вишневый сад» top-1 | `netbird-inventory.md` | `projects/vishnevyy-sad/README.md` ✅ |
+| Лаг push → видно боту | 5–16 мин | **~50 секунд** |
+| Проектов с netbird-привязкой | 0 | **9** |
+| Структурный объект-граф | нет | `objects-map.json` (34 entries) |
+| Online orphan-пиров | ~30+ | **3** |
+| Auto-reindex после pull | нет | есть |
+| Recall promoted | 0 (mёртв 16 дней) | 17 + weekly cron |
+| Dreaming | off | on (ночной cron) |
+| FTS-шум audit/ | 24 файла | 7 active + 18 в archive |
+
+## Грабли (для будущей памяти)
+
+1. **Gitea SSRF-protection.** Без `webhook.ALLOWED_HOST_LIST` в `app.ini` Gitea silently отказывает доставлять webhook на private IP. В docker-логах: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом получает 0 запросов, journal пустой.
+
+2. **`flock -n` теряет двойные push.** Если webhook прилетел во время pull/reindex — non-blocking lock молча выходит. Заменить на `flock -w 180`.
+
+3. **openclaw 2026.5.2 ollama-провайдер игнорирует chunking.** При `provider: ollama` шлёт файлы целиком в `/api/embed`, ollama buffer растёт до 700 MB, обработка >5 мин, fetch валится. Не лечится `chunking.tokens=512`, `nonBatchConcurrency=1`, `batch.enabled=false`. Bug либо в openclaw, либо неочевидный конфиг-флаг.
+
+4. **substring matching → false positives.** Alias `cloud` подхватывал `Cloud-NIIKN New niikn.com`. Перешли на exact-match с нормализацией `ye→e`. Aliases теперь должны содержать **полные** имена пиров как в netbird-inventory.
+
+5. **Heredoc через ssh с backticks** — bash интерпретирует backticks как command-substitution внутри пути файла. Для записи структурных markdown'ов с inline-кодом — пушить через base64 или scp/pct push, не heredoc.
+
+6. **`git commit` без `-a` или явного `git add`** забирает только staged. Удаление через `git rm` помечается автоматом, а modify — нет. Один коммит может оставить часть правок несинхронизированными — дополнительный коммит лечит.
+
+## Что отложено
+
+| Задача | Причина | Когда возвращаться |
+|---|---|---|
+| Векторный поиск через ollama | bug в openclaw 2026.5.2 ollama-провайдере | при апгрейде openclaw, или попробовать `provider: local` (transformers.js встроен в openclaw) |
+| 14 orphan-пиров (Денис Тихая, DESKTOP-2IOQS54 Saransk, KOMPUTER, MastaNotebook, …) | нужны факты от Олега чьи это машины | по мере выяснения — добавлять в aliases подходящих проектов |
+| 26 битых wiki-ссылок | автоматический фикс не всегда возможен (некоторые цели реально удалены) | semi-auto проход: показать список, для очевидных — починить, остальное — оставить TODO |
+| Singleton-проекты (`projects/*.md`) без frontmatter | не критично — они top-level note'ы | при касании |
+
+## Артефакты в vault
+
+- [[../projects/lipki/README]], [[../projects/znamenskoye/README]], [[../projects/mmfb/README]]
+- [[../projects/sergey/README]], [[../projects/benilux/README]], [[../projects/vishnevyy-sad/README]], [[../projects/openwrt-4/README]]
+- [[../projects/_index]] — авто-генерированный реестр
+- `audit/objects-map.json` — машинно-читаемый граф
+- [[../audit/2026-05-06-objects-audit]] — первый health-check
+- `scripts/kb-objects-map.py`, `scripts/kb-objects-audit.py`
+- [[../snippets/openclaw-kb-webhook]]
+- [[2026-05-06-openclaw-kb-webhook-deployment]]
+- frontmatter добавлен в `projects/{niikn,dttb,glavtorg,krasnogorsk,zelenograd}/README.md`
+
+## Артефакты вне vault
+
+**LXC 137 (openclaw):**
+- `/usr/local/bin/kb-pull-webhook.py` (Python listener, HMAC)
+- `/etc/systemd/system/kb-pull-webhook.service`
+- Обновлённый `/usr/local/bin/kb-pull.sh` (`flock -w 180`, hash-diff, auto-reindex)
+- Cron `0 4 * * 1` weekly memory promote
+- Config: `memorySearch.query.minScore=0.4`, `dreaming.enabled=true`, ollama-провайдер откачен (бэкап `/root/.openclaw/openclaw.json.bak.embed-2026-05-06-112441`)
+- Переписаны `/root/clawd/IDENTITY.md`, `INFRASTRUCTURE.md`
+
+**LXC 136 (Gitea):**
+- `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `/opt/gitea/data/gitea/conf/app.ini`
+- Webhook id=1 на репо `oleg/knowledge-base`
+
+**LXC 132 (code-server):**
+- ollama systemd override `OLLAMA_HOST=0.0.0.0:11434, KEEP_ALIVE=24h` (для будущего возврата к embeddings)

decisions/2026-05-06-openclaw-kb-webhook-deployment.md

@@ -0,0 +1,78 @@
+---
+date: 2026-05-06
+type: decision
+tags: [openclaw, gitea, webhook, kb-sync, performance]
+status: applied
+---
+
+# Webhook Gitea → openclaw kb-pull (Фаза 2 плана улучшения KB-поиска)
+
+## Контекст
+
+После публикации `projects/lipki/README.md` стало видно, что openclaw (Максимка) видит новые правки vault только через cron `*/15` — лаг до 15 минут. Это первое, что бьёт по UX («только что записал → бот всё ещё не знает»).
+
+План улучшения KB-поиска расписан в чате с Claude Code 2026-05-06 утром, Фаза 2 — webhook + автоматический FTS-реиндекс.
+
+## Решение
+
+Push-канал Gitea → listener на LXC 137 → `kb-pull.sh` → `openclaw memory index`. Cron `*/15` оставлен как safety net.
+
+Подробная реализация — [[../snippets/openclaw-kb-webhook]].
+
+## Что развёрнуто
+
+| Компонент | Где |
+|---|---|
+| `/usr/local/bin/kb-pull-webhook.py` | LXC 137, Python http.server, HMAC-SHA256 проверка, journal-лог |
+| `/etc/systemd/system/kb-pull-webhook.service` | LXC 137, system unit, Restart=on-failure, secret в env |
+| Обновлённый `/usr/local/bin/kb-pull.sh` | `flock -w 180`, hash-diff, авто `openclaw memory index` при новом HEAD |
+| Webhook в Gitea (id=1, репо `oleg/knowledge-base`) | events: push, branch: main, secret в HMAC |
+| `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `app.ini` | LXC 136 (Gitea в docker), `/opt/gitea/data/gitea/conf/app.ini` |
+
+## Метрика
+
+End-to-end push → видно боту:
+
+| Этап | Время |
+|---|---|
+| `git push` с Mac → Gitea ack | ~2 c |
+| Gitea → webhook listener | ~3 c |
+| listener → kb-pull.sh → git pull → новый HEAD | ~6 c |
+| **Итого до видимости HEAD на 137** | **~11 c** |
+| FTS reindex (875 файлов / 1791 chunk) | +38 c |
+| **Итого до видимости в `openclaw memory search`** | **~50 c** |
+
+Было: до 15 минут (cron */15) + до 38 c reindex (если бы он раньше был) = до **~16 минут**.
+
+Улучшение: **×20 латентности до видимости HEAD, ×16 до полного FTS**.
+
+## Грабли (для будущей памяти)
+
+1. **Gitea SSRF-protection.** Без `ALLOWED_HOST_LIST` Gitea silently отказывает доставлять webhook на private IP. Test delivery возвращает `204`, но в Gitea log: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом не видит ничего — пустой journal. Это была первая причина почему ничего не работало.
+
+2. **`flock -n` теряет вторую серию push'ов.** Если webhook прилетел во время уже идущего pull/reindex (быстрый двойной push) — non-blocking flock молча выходит. Надо `-w 180` (ждать в очереди до 3 мин).
+
+3. **sed по строке с `||` ломается, если разделитель `|`.** `sed -i 's|flock -n|flock -w 180|'` падает с `unknown option to s`. Использовать `#` или другой разделитель — `sed -i 's#flock -n#flock -w 180#'`.
+
+4. **Listener `log_message: pass` гасит **все** логи http.server.** Если хочется видеть приём POST — переопределить как `sys.stderr.write(...)`. Иначе debug невозможен.
+
+## Альтернативы, которые отвергнуты
+
+- **Полностью убрать cron**: рискованно — если listener умер и не заметили, vault зависнет. Cron `*/15` ничего не стоит и страхует.
+- **Webhook напрямую через NPM/публичный URL**: лишний хоп, нужен HTTPS, всё в LAN — не нужно.
+- **iptables на 18790**: HMAC-secret уже отсекает левые запросы. Homelab trusted. Не делал.
+
+## Откат
+
+См. секцию «Откат» в [[../snippets/openclaw-kb-webhook]]. Один rm-рецепт + удаление webhook через Gitea API.
+
+## Что дальше
+
+Фаза 1 плана (embeddings ollama × bge-m3) — пока **отложена**. При попытке развёртывания openclaw 2026.5.2 со всеми правильными config-полями (`provider=ollama`, `remote.baseUrl`, `model=bge-m3`, `chunking.tokens=512`) **игнорирует chunking** и шлёт в `/api/embed` файлы целиком — output buffer ollama растёт до 700+ MB, обработка >5 мин, undici fetch падает по дефолтному 5-min Headers Timeout. Конфигурация откачена, состояние FTS-only сохранено.
+
+Возможные пути возврата к векторному поиску:
+- `provider: local` (transformers.js встроенный) — попробовать без сетевого хопа
+- Ждать openclaw 2026.5.3+ с фиксом chunking
+- GitHub Copilot embeddings (требует токен)
+
+Следующая фаза по плану — **Фаза 3** (`audit/objects-map.json` + `projects/_index.md`) или **Фаза 5.1** (слить дубли видеонаблюдения).

decisions/2026-05-06-openclaw-opus-4-7-via-max-cliproxy.md

@@ -0,0 +1,119 @@
+---
+date: 2026-05-06
+type: decision
+tags: [decision, openclaw, omniroute, claude, opus, cliproxy, max-plan]
+---
+
+# 2026-05-06: openclaw перешёл на Claude Opus 4.7 через Max-подписку (cc/* в OmniRoute)
+
+## Контекст
+
+Искали стабильный источник Claude Opus 4.6/4.7 для openclaw — обсуждали построение Workspace-фарма на новом домене с пулом аккаунтов под Antigravity. Перед тем как затевать фарм ($12/домен + время на регистрации + риск массового бана), проверили что фактически работает в текущей OmniRoute.
+
+## Что обнаружили в OmniRoute (10.0.0.179:20128)
+
+В каталоге **17 моделей с opus в id**, но реально пингуются только три:
+
+| Model ID | Источник | Статус |
+|---|---|---|
+| **`cc/claude-opus-4-7`** | Claude Code OAuth (Max-подписка Олега) | ✅ Работает |
+| `cc/claude-opus-4-6` | то же | ✅ Работает |
+| `claude/claude-opus-4-7` | прямой Anthropic API | ✅ Работает (платный per-token) |
+| `gh/claude-opus-4.6` | GitHub Copilot integrator MS | ❌ MS убрала Opus 4.6 из integrator scope, отдаёт «model not available» |
+| `gh/claude-opus-4.7` | то же | ❌ ID mismatch: OmniRoute шлёт `4.7`, MS ждёт `4-7` (баг mapping в текущей версии) |
+| `kr/claude-opus-4.6` / `4.7` | Kiro/AWS | ❌ Kiro Opus не выдаёт, только Sonnet |
+| `kiro/claude-opus-*` | то же | ❌ |
+| `kc/anthropic/claude-opus-4.7` | KiloCode | ❌ Empty response |
+| `kilocode/anthropic/claude-opus-4.7` | то же | ❌ |
+| `antigravity/claude-opus-4-6-thinking` | Google Antigravity | ❌ «Missing Google projectId — reconnect OAuth in Providers → Antigravity» |
+
+## Решение
+
+**Workspace-фарм для Antigravity не нужен.** У Олега уже есть рабочий Opus 4.7 через **`cc/claude-opus-4-7`** — это его собственная Max-подписка Anthropic, проксированная через CLIProxy в OmniRoute. Лучше любого фарма потому что:
+
+- Нет per-token биллинга, фиксированная стоимость Max ($200/мес за Max20x)
+- Не нужны множественные аккаунты, recovery emails, virtual cards
+- Один источник = один ключ = простая интеграция
+- Нет риска массового бана как у фарм-аккаунтов
+- Самая свежая модель Opus 4.7 (новее чем 4.6 которая в фармовых Antigravity)
+
+### Изменения в `/root/.openclaw/openclaw.json` (LXC 137)
+
+**Было:**
+```json
+"agents.defaults.model": {
+  "primary": "omniroute/kr/claude-sonnet-4.5",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/cx/gpt-5.4"
+  ]
+}
+```
+
+**Стало:**
+```json
+"agents.defaults.model": {
+  "primary": "omniroute/cc/claude-opus-4-7",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/kr/claude-sonnet-4.5",
+    "omniroute/cx/gpt-5.4"
+  ]
+}
+```
+
+Также добавлена запись в `models.providers.omniroute.models[]`:
+```json
+{
+  "id": "cc/claude-opus-4-7",
+  "name": "Claude Opus 4.7 (CLIProxy/Max)",
+  "reasoning": false,
+  "input": ["text", "image"],
+  "contextWindow": 200000,
+  "maxTokens": 8192
+}
+```
+
+Без этой записи openclaw fallback'нет на следующий — модель должна быть в каталоге провайдера.
+
+### Применение
+
+OpenClaw подхватил изменения **через hot-reload без рестарта** (видно в журнале: `[reload] config hot reload applied`). После я ещё раз сделал `systemctl --user restart openclaw-gateway.service` для чистоты, но это было необязательно.
+
+В логах после старта:
+```
+[gateway] agent model: omniroute/cc/claude-opus-4-7
+[gateway] http server listening (7 plugins: ..., telegram; 8.6s)
+[telegram] [default] starting provider (@maxim_dttb_bot)
+[gateway] ready
+```
+
+## Бэкап и rollback
+
+Автобэкап перед изменениями: `/root/.openclaw/openclaw.json.bak.opus47-20260506-090832`
+
+Rollback одной командой:
+```bash
+sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 137 -- bash -c '
+  cp /root/.openclaw/openclaw.json.bak.opus47-20260506-090832 /root/.openclaw/openclaw.json
+  XDG_RUNTIME_DIR=/run/user/0 systemctl --user restart openclaw-gateway.service
+'"
+```
+
+## Известные риски и мониторинг
+
+1. **Max-подписка fair-use лимиты** — Anthropic размывает по нагрузке, точных цифр нет. Когда упрёмся — openclaw сам перейдёт на `cc/claude-sonnet-4-6` (видно в логах `model fallback decision`).
+2. **CLIProxy OAuth refresh** — может протухнуть. Мониторинг: `journalctl --user -u openclaw-gateway -f` на LXC 137. При ошибке 401 от Anthropic API → переподключить Claude Code OAuth в OmniRoute (Dashboard → Providers → Claude → Reconnect).
+3. **Скорость** — Opus 4.7 в среднем 2-5 сек медленнее Sonnet 4.5. Для интерактива в Telegram это норма.
+
+## Параллельные находки
+
+- **Antigravity** требует OAuth re-connect. По заметке `feedback_antigravity_onboarding.md`: открыть [antigravity.google](https://antigravity.google), залогиниться, создать Cloud Code project → projectId подтянется → `antigravity/claude-opus-4-6-thinking` оживёт. Сейчас не критично.
+- **`Unknown model: cx/gpt-5.4`** — каждые 30 минут в логах ошибка. Health-check тыкается в модель которой нет в каталоге `omniroute.models[]` openclaw. Не блокер — failover работает. Решение: либо добавить `cx/gpt-5.4` в каталог openclaw, либо убрать из health-check'ов.
+
+## Связанные
+
+- [[../claude-memory/omniroute]] — OmniRoute setup, провайдеры, версии
+- [[../projects/dttb/openclaw]] — справочник по openclaw
+- [[../snippets/clawdbot-cliproxy-config]] — старый шаблон CLIProxy
+- [[../snippets/omniroute-models-audit]] — шаблон smoke-тестов и парсинга ошибок (использовался при этом аудите)

decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash.md

@@ -0,0 +1,90 @@
+---
+date: 2026-05-07
+type: decision
+tags: [buzharovo, server1c, 1c, troubleshooting]
+---
+
+# Бужарово 1С сервер — rmngr-loop после грязного ребута: рецепт
+
+## Контекст
+
+07.05.2026 утром локальные пользователи в Бужарово начали жаловаться на резкое замедление 1С. NetBird и удалённый доступ ни при чём — тормозило в локальной сети офиса.
+
+Сервер: `Server1C` (Win 2012 R2, 100.70.75.103 / 185.13.47.2), 1С 8.3.27.1606, MSSQL.
+
+## Что нашли
+
+Сегодня в **09:05 сервер ушёл в crash**:
+- `System / Kernel-Power Event 41` (Critical): "rebooted without cleanly shutting down — system stopped responding, crashed, or lost power"
+- `System / EventLog 6008`: "previous shutdown was unexpected"
+
+После загрузки:
+- `rmngr.exe` (менеджер кластера 1С) держит **~1.7 ядра постоянно** в idle (норма <2% одного ядра).
+- `rphost`, `sqlservr`, диски (avg sec/write 1.6 ms, queue 0.03), память (5/64 GB) — **в норме**.
+- `rac.exe localhost:1540 cluster list` → "ошибка соединения с сервером", exit -1 — **admin-канал rmngr повис**, кластером невозможно управлять извне.
+- `netbird.exe` параллельно жжёт 1.4 ядра — побочный reconnect-loop после crash, после ребута сам успокоился.
+
+## Что не помогло
+
+**Полный ребут сервера** (через `Restart-Computer`) — НЕ решает проблему. На свежезагруженном сервере с uptime=37 секунд rmngr опять на 178% одного ядра. То есть проблема воспроизводится при каждом первом запуске агента после crash.
+
+## Что помогло
+
+```powershell
+Restart-Service -Name '1C:Enterprise 8.3 Server Agent (x86-64)' -Force
+```
+
+После рестарта службы (не сервера!):
+
+| Процесс | До рестарта | После рестарта |
+|---|---|---|
+| rmngr | 178% ядра | 3% ядра |
+| rphost | 19% | 1% |
+| ragent | 0% | 1% |
+
+Все клиенты в этот момент вылетают — нужно предупредить за 2-3 минуты. Перезаход штатный.
+
+## Побочный эффект
+
+После рестарта остался орфан-процесс старого `ragent` от прошлого запуска (не слушает 1540, висит в памяти). Можно безопасно прибить:
+
+```powershell
+Get-Process ragent | Where-Object { $_.Id -ne (Get-NetTCPConnection -LocalPort 1540).OwningProcess } | Stop-Process -Force
+```
+
+## Корневая причина — открыта
+
+Почему `rmngr` зацикливается после первого запуска ragent — точно не выяснено. Гипотезы:
+1. Повреждённый кэш кластера `C:\Program Files\1cv8\srvinfo\reg_*\` после crash.
+2. Регресс в 8.3.27.1606 при восстановлении сеансов.
+3. Disabled-служба `RagentServer_8327` (старый дубликат) что-то мешает в реестре при первом старте.
+
+Если повторится — смотреть `C:\Program Files\1cv8\srvinfo\reg_*\1Cv8FTLog\` и `1Cv8Log` на ошибки.
+
+## Что сделать долгосрочно
+
+В кластере 1С сейчас **один rphost на всех локальных пользователей** — бутылочное горлышко. Через консоль администрирования сервера 1С увеличить количество рабочих процессов: 1 rphost на 8-12 сеансов. Это отдельная задача, не на горячую.
+
+## Команды диагностики (для повтора)
+
+WinRM-сессия с Mac:
+```python
+import winrm
+s = winrm.Session('http://100.70.75.103:5985/wsman',
+                  auth=('dttb','1qaz!QAZ'),
+                  transport='basic')
+```
+
+Дельта CPU за 5 сек по процессам:
+```powershell
+$names='rmngr','rphost','netbird','sqlservr','ragent'
+$first=@{}; $last=@{}
+Get-Process | ?{$names -contains $_.Name} | %{ $first[$_.Name]=$_.CPU }
+Start-Sleep 5
+Get-Process | ?{$names -contains $_.Name} | %{ $last[$_.Name]=$_.CPU }
+foreach($n in $names){ "$n delta=$($last[$n]-$first[$n])s" }
+```
+
+Если у rmngr дельта >50 за 5 секунд — диагноз "rmngr-loop" подтверждён, делать рестарт службы.
+
+См. также [[projects/buzharovo/server1c]].

decisions/2026-05-08-buzharovo-sql-native-backup.md

@@ -0,0 +1,75 @@
+---
+date: 2026-05-08
+type: decision
+tags: [decision, buzharovo, 1c, backup, mssql, effector-saver]
+---
+
+# 2026-05-08: Бэкап Бужарово 1С — переход с Effector Saver DT на native MS SQL Backup
+
+## Контекст
+
+Вечером 2026-05-08, после починки rmngr-loop, регулярная задача `Бэкап 1Cv8` в Effector Saver Free 4.8/2 на `server1c.netbird.cloud` (Win 2012 R2, MSSQL 2012 SP4, 1С 8.3.27.1606) **отказывалась завершаться успешно**. Шесть подряд запусков (19:51 → 22:21) падали с одной и той же связкой ошибок:
+
+1. `HRESULT=800401F3` — `V83.ComConnector` не зарегистрирован → Olег зарегистрировал через UI Effector Saver, переключился на 64-bit
+2. `HRESULT=80004005` — "Администратор кластера не аутентифицирован" — у кластера 1С есть проверка авторизации, но **в кластере нет ни одного admin'а**, а добавить нельзя:
+   - В Серверной консоли 1С: `Локальный кластер → Администраторы` показывает количество=0, форма "Новый администратор" заполнена, но при OK **просит логин/пароль и не принимает agent-уровневый admin** (создан Olегом отдельно)
+   - Через COM `V83.COMConnector`: `AuthenticateAgent('admin', '1qaz!QAZ')` проходит, но `RegClusterAdmin` падает "пользователь не выполнил аутентификацию для требуемой операции" (chicken-and-egg: для создания первого cluster admin нужен уже cluster admin)
+   - Через `rac` с `--agent-user`: cluster operations не принимают agent-уровневую аутентификацию (design choice 1С)
+
+3. `Ошибка исключительной блокировки информационной базы` — даже без cluster admin'а Effector Saver продолжает выгрузку, но не может получить эксклюзив, потому что в БД активные сессии. Особенно "вечная" сессия `КулябинПИ sid=4514, начат 12:55:42` — после моего рестарта службы 1С в 19:30 и последующих SQL `KILL` сессий, она **раз за разом возвращается** (вероятно, реально открытый где-то тонкий клиент Павла Ивановича + persistent state в `1CV8Clst.lst`).
+
+## Что пробовали и почему не сработало
+
+| Попытка | Результат |
+|---|---|
+| `regsvr32` x64 `comcntr.dll` | ✅ COM зарегистрирован, переключение Effector Saver на 64-bit убрало `800401F3` |
+| `Restart-Service '1C:Enterprise 8.3 Server Agent'` | ✅ rmngr вылечен, но session 4514 в реестре кластера **persists** между рестартами |
+| `KILL` SQL-сессий через `sa/Qwer1122334400` | ✅ временно (sess=0, locks=0), но 1С rphost восстанавливает соединения за 1-2 мин и сессия 4514 reanimates |
+| `rac cluster admin register` без auth | ❌ "оператор не существует" |
+| `RegClusterAdmin` через COM с `AuthenticateAgent` | ❌ "пользователь не аутентифицирован для требуемой операции" |
+| GUI Серверной консоли 1С — добавить cluster admin | ❌ форма не сохраняет, требует cluster auth (которой нет) |
+
+Тупик: **в кластере БД 1С нет cluster admin'а, и зарегистрировать первого нельзя ни через GUI, ни через rac, ни через COM.** Возможный единственный путь — обнулить `srvinfo\reg_1541\1CV8Clst.lst` целиком (потеря и админов, и регистрации ИБ — нужна перерегистрация ИБ с SQL params; рискованно).
+
+## Решение: native MS SQL Backup
+
+Effector Saver делает **DT-выгрузку через 1С Конфигуратор** (`1cv8.exe DESIGNER /DumpIB`), которая требует эксклюзив на ИБ. Это исторический способ для **файловых** ИБ. Для **клиент-серверных** ИБ на MS SQL правильный путь — **`BACKUP DATABASE` на уровне SQL Server**:
+
+- ✅ **Online backup** — снимает копию во время работы, не требует эксклюзива
+- ✅ Не зависит от 1С-кластера, cluster admin'а, активных сессий
+- ✅ С `WITH COMPRESSION` файл сжимается ~3:1 (3.8 GB → 1.1 GB)
+- ✅ Быстрее — у нас 2 секунды на 3.8 GB БД
+- ✅ Восстанавливается одним запросом `RESTORE DATABASE`
+
+Реализация:
+
+```sql
+BACKUP DATABASE [RitmUl]
+TO DISK = N'C:\backup\RitmUl_<ts>.bak'
+WITH FORMAT, INIT, NAME = N'RitmUl-Full',
+     SKIP, NOREWIND, NOUNLOAD, COMPRESSION, COPY_ONLY,
+     STATS = 5
+```
+
+`COPY_ONLY` — чтобы наш бэкап не ломал log chain если потом настроят differential/log backups.
+
+Запускается через WinRM `python3 + System.Data.SqlClient` с LXC 139 `severny-les` (бот). Storage: `C:\backup\` на server1c (374 GB свободно).
+
+## Артефакт
+
+- **Первый успешный бэкап 2026-05-08:** `C:\backup\RitmUl_2026-05-08_2225.bak` (1105 MB)
+- **Скрипт:** `/root/clawd/scripts/sql_native_backup.py` на LXC 139
+
+## TODO (после возвращения Olега из Египта)
+
+1. **Автоматизировать** — добавить cron на LXC 139 `severny-les`: каждый день в 03:00 МСК запускать `sql_native_backup.py`, ротировать (хранить N дней). Алерт в Telegram-группу при сбое.
+2. **Ротация и трансфер** — настроить копирование `.bak` файлов на внешний носитель (Nextcloud / S3 / Gitea-LFS).
+3. **Тест восстановления** — раз в N дней автоматически развернуть бэкап в тестовую БД и проверить целостность.
+4. **Effector Saver** оставить как есть, не чинить (чинить cluster admin = разбирать `1CV8Clst.lst` бинарник, риск убить ИБ). Можно отключить регулярную задачу `Бэкап 1Cv8` в Effector Saver чтобы не плодились алерты "ошибка".
+5. **TODO документировать** SQL creds в `projects/dttb/credentials.md` (см. блок Бужарово).
+
+## Связанные
+
+- [[projects/buzharovo/server1c]] — обновлён с SQL backup как новый канон
+- [[projects/buzharovo/severny-les-bot]] — бот теперь умеет бэкапить через WinRM+SQL
+- [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]] — про rmngr (отдельная история, починена)

decisions/2026-05-08-severny-les-bot-buzharovo.md

@@ -0,0 +1,77 @@
+---
+date: 2026-05-08
+type: decision
+tags: [decision, buzharovo, bot, openclaw, watchdog, telegram]
+---
+
+# 2026-05-08: Северный лес — отдельный AI-ассистент + watchdog для server1c (Бужарово)
+
+## Контекст
+
+Олег уезжает в отпуск в Египет 2026-05-09 → 2026-05-22. На server1c (Бужарово, VDS 185.13.47.2 / NetBird 100.70.75.103) недавно (2026-05-07) был rmngr-loop, который лечится только `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` — ребут не помогает (см. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]).
+
+Пока Олег в отпуске, нужно:
+1. Чтобы кто-то узнавал когда сервер упал (Telegram-группа руководящего состава Северного леса);
+2. Чтобы можно было дёрнуть восстановительное действие (`/approve restart_1c`) не дожидаясь возвращения Олега из Египта.
+
+Через ~2 недели (после Египта) планируется миграция server1c с VDS на собственный сервер. Бот должен работать **до и после** миграции — поэтому он не на самом server1c, а на dttb-Proxmox через NetBird.
+
+## Развилка: clawdbot vs openclaw vs другой watchdog
+
+Рассматривались три варианта:
+
+| Вариант | Плюсы | Минусы |
+|---|---|---|
+| **clawdbot** (как у [[projects/niikn/clawdbot-niikn|Максимки-Мауля]]) | Проверенный рецепт, проще | Старый стек, не обновляется. exec-approvals самописные. |
+| **openclaw** (свежий стек 137) | Встроенный `exec-approvals.json` whitelist для shell-команд. Plugins, skills, делегирование на Opus 4.7 через Max. Свежий, активная разработка. | Жёсткая schema, есть тонкости (bonjour, IPv6, FakeIP DNS) — но они уже разобраны на 137. |
+| **Голый watchdog без AI** | Минимум зависимостей. | Нет диагностики "почему упало". Невозможно дёрнуть `/restart_1c` через `/approve` — только ручной WinRM. |
+
+**Решение:** **openclaw** — встроенный whitelist для shell-команд (`exec-approvals.json`) — это прямо то что нужно для `/approve` flow. Плюс Опус 4.7 через Max.
+
+## Архитектура
+
+**Изоляция от Максимки (LXC 137):** не подвешиваем как доп.канал на 137 — если openclaw на 137 упадёт (а это бывает: bonjour, FakeIP, Kiro 402), упадут и алерты Бужарово. Для критичной мониторинг-задачи нужен **отдельный** инстанс.
+
+**Хост:** новый LXC 139 на dttb (10.0.0.240, NetBird 100.70.212.78, Ubuntu 24.04, 2c/4GB/10GB).
+
+**Два слоя независимых:**
+1. **buzharovo-watchdog** — bash + curl→TG bot API напрямую, systemd timer 60s. **Не зависит от openclaw.** Если AI-часть упала, алерт всё равно дойдёт.
+2. **openclaw 2026.5.7** — AI-помощник для диагностики и `/approve`-action'ов через WinRM.
+
+**Алерт-уровни:**
+- `OK` — всё доступно;
+- `WARNING` — часть проверок упала;
+- `WARNING_NETBIRD` — NetBird до server1c лежит, публично сервер виден;
+- `CRITICAL` — сервер не отвечает ни публично, ни через NetBird.
+
+Антиспам: алерт шлётся **только при смене уровня**, состояние в `/var/lib/severny-les/state.json`.
+
+**WinRM-actions с подтверждением:**
+- read-only без approval (`/status`, `/check_1c`, `/check_rmngr`);
+- destructive с обязательным `/approve` от Олега `1292155421` (`/restart_1c`, `/kill_orphan_ragent`);
+- ребута сервера НЕ даём (по опыту 2026-05-07 не помогает rmngr-loop).
+
+## Превентивные правки на старте (уроки 137)
+
+Все три "ловушки openclaw" пропатчены сразу:
+1. `plugins.entries.bonjour.enabled = false` — против mDNS crash-loop (см. [[projects/dttb/openclaw#Crash-loop-каждые-40-сек]]).
+2. `pct set 139 --nameserver '1.1.1.1 8.8.8.8'` + правка `/etc/resolv.conf` — против FakeIP DNS от 10.0.0.1.
+3. `NODE_OPTIONS=--dns-result-order=ipv4first` в systemd unit — против IPv6-сбоев Telegram API.
+
+systemd unit для openclaw — **system-level** (`/etc/systemd/system/openclaw-gateway.service`), а не `--user` как на 137. В LXC без user-session `systemctl --user` не работает (`Failed to connect to bus`).
+
+## Что осталось сделать после возвращения Олега
+
+1. **NetBird ACL** `severny-les` → `server1c` (порт 5985 TCP минимум) — без него WinRM-actions не работают, watchdog мониторит только публичные проверки.
+2. **Добавить @bz_sl_bot в TG-группу** руководящего состава, узнать `chat_id`, обновить `/etc/severny-les/watchdog.env` `BZ_TG_CHAT` и `openclaw.json` `groupAllowFrom`.
+3. После миграции server1c на свой сервер — обновить IP в `/root/clawd/INFRASTRUCTURE.md` и в `buzharovo-watchdog.sh`.
+
+## Артефакты
+
+- LXC 139 `severny-les` (10.0.0.240)
+- TG bot `@bz_sl_bot` (token `8322860033:...`)
+- Справочник: [[projects/buzharovo/severny-les-bot]]
+- Persona: `/root/clawd/{IDENTITY,INFRASTRUCTURE,USER,SOUL,TOOLS,MEMORY,HEARTBEAT}.md`
+- Скрипты: `/root/clawd/scripts/check_buzharovo.sh`, `winrm_lib.py`, `check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `kill_orphan_ragent.py`, `heartbeat.sh`
+- Watchdog: `/usr/local/bin/buzharovo-watchdog.sh` + `.service` + `.timer` (60s); `netbird-watchdog` clone с 137 (2 мин)
+- Whitelist: `/root/.openclaw/exec-approvals.json`

decisions/2026-05-14-buzharovo-watchdog-public-only.md

@@ -0,0 +1,85 @@
+---
+date: 2026-05-14
+type: decision
+tags: [decision, buzharovo, watchdog, netbird, monitoring, openclaw]
+---
+
+# 2026-05-14: Watchdog Бужарово — только публичный канал, NetBird вынесен из alert level
+
+## Контекст
+
+Олег в Египте, прислал что бот "сыпал ошибками вчера, попросил отключить мониторинг". Разведка:
+
+1. **Все сервисы на LXC 139 живы** (`openclaw-gateway`, `buzharovo-watchdog.timer`, `netbird-watchdog.timer`, `netbird.service` — `active+enabled`). Олег ничего не отключал.
+2. **Watchdog v1 правильно держал `WARNING_NETBIRD`** (последний алерт 13 мая ~19:32 МСК), антиспам корректный — повторных алертов не слал.
+3. **Истинный источник "ошибок"** — `openclaw primary model = omniroute/cc/claude-opus-4-7` упёрся в лимит Max-подписки:
+   ```
+   omniroute (cc/claude-opus-4-7) returned a billing error — your API key has run out of credits
+   400 [400]: You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
+   ```
+   Каждое сообщение в боте + каждое ночное `memory-core dreaming` (cron 03:00) → billing 400 → failover на `kr/claude-sonnet-4.5`. На клиенте часть запросов могла отдаться с ошибкой раньше чем failover отработал.
+4. **Server1C NetBird daemon (Windows)** регулярно flap'ает, `last_seen=2026-05-13T08:24:26` — > 25 часов вне mesh, хотя сервер сам публично жив (ping + RDP 3389 OK).
+
+## Решения
+
+### Фикс 1: primary model → free Sonnet 4.5
+
+`/root/.openclaw/openclaw.json`:
+```json
+{
+  "primary": "omniroute/kr/claude-sonnet-4.5",
+  "fallbacks": [
+    "omniroute/cc/claude-sonnet-4-6",
+    "omniroute/gh/claude-sonnet-4.5",
+    "omniroute/cc/claude-opus-4-7"
+  ]
+}
+```
+Hot-reload подхватился. Backup конфига — `/root/.openclaw/openclaw.json.bak.opus-billing-<ts>`.
+
+**Возврат на Opus как primary — только после пополнения Max** или подключения второго конектора в OmniRoute.
+
+### Фикс 2: watchdog v2 — только публичный канал
+
+Переписан `/usr/local/bin/buzharovo-watchdog.sh`. Логика alert-level **больше не учитывает NetBird-проверки**:
+
+- `OK` — `ping 185.13.47.2` ✓ + `TCP 3389` (RDP) ✓
+- `DEGRADED` — один из публичных упал
+- `CRITICAL` — оба публичных упали
+
+NetBird-уровень (`ping 100.70.75.103` + `TCP 5985`) **только логируется** в `state.json` (`ping_nb`, `winrm_nb`), но не меняет level и не порождает алерт.
+
+При первом алерте в новую сессию (prev_level=INIT) добавляется пометка:
+> _NetBird до сервера сейчас лежит — это известная регулярная проблема со стороны Windows-сервера, не влияет на работу 1С для пользователей. Watchdog проверяет только публичный канал._
+
+**Почему так:** NetBird daemon на Server1C (Windows 2012 R2) теряет mesh-сессию регулярно (memory `feedback_netbird_watchdog`). Лечится `Restart-Service netbird` через RDP — но это ручная операция, и поток алертов из-за этого был шумом, а не сигналом. Сервер для пользователей в Бужарово при этом работает — 1С локально доступна.
+
+**Что теряем:** WinRM-actions (`check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `sql_native_backup.py`) идут через NetBird (`100.70.75.103:5985`). Когда NetBird падает — эти actions недоступны. Бот в группе об этом честно скажет: "Не могу проверить состояние службы 1С — туннель до сервера временно лежит". Восстанавливается после `Restart-Service netbird` на server1c через RDP.
+
+**Что НЕ теряем:** алерты о реально критичных событиях (сервер физически лёг публично, сеть провайдера упала, RDP закрылся).
+
+## Деплой
+
+```bash
+pct push 139 wd.sh /usr/local/bin/buzharovo-watchdog.sh
+chmod +x /usr/local/bin/buzharovo-watchdog.sh
+chown root:root /usr/local/bin/buzharovo-watchdog.sh
+echo "{}" > /var/lib/severny-les/state.json   # force re-evaluate
+# Manual run → level=OK, alert "Мониторинг включён" ушёл в группу
+```
+
+## Обновления в vault и persona
+
+- `/root/clawd/MEMORY.md` на LXC 139 — добавлены уроки про Opus billing + watchdog v2
+- [[projects/buzharovo/severny-les-bot]] — обновить ссылку на watchdog v2 (TODO)
+- Этот decision-файл
+
+## NetBird route 10.0.0.0/24 — попутно
+
+Существующий route `Dom` (`cud7q73l0ubs73dr3gc0`) advertised через peer `pve 100.70.121.235 (Эстония)`, **disconnected**. Переключил routing peer на **`openclaw` (`d79s9g2fadhs739mihkg`)** через PUT `/api/routes/cud7q73l0ubs73dr3gc0`. Mac получил доступ к 10.0.0.0/24 через NetBird → openclaw → LAN.
+
+## TODO (опционально, не сейчас)
+
+- **Reverse SSH-туннель** server1c → severny-les для WinRM-actions без зависимости от NetBird. Server1C сам делает outbound SSH → LXC 139 пробрасывает 127.0.0.1:55985 → server1c:5985. WinRM-скрипты целятся в `localhost:55985`. Решает проблему "NetBird лёг — WinRM недоступен".
+- **HTTPS WinRM (5986)** публично с certificate-pin'ом — альтернатива через интернет, но требует настройки SSL и хорошего firewall.
+- **Ночной cron sql_native_backup.py** — автоматизация ежедневных бэкапов БД (TODO от 2026-05-08, см. соответствующий decision).

notes/README.md

@@ -7,3 +7,4 @@
 - [[notes/2026-02-26-full-session-log]]
 - [[notes/2026-02-26-knowledge-base-setup]]
 - [[notes/2026-02-26-session-summary]]
+- [[notes/karpathy-method]]

notes/claude/2026-04-18-202513-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:25:13.404Z
+messages: 51
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+На Mac после pull: **score 493 → 45** (−91%).
+
+## Что Opus сделал за 7 минут
+
+### Просто по правилам
+- **frontmatter** 70 файлов: добавил `---\ndate/type/tags\n---` — дату взял из имени файла / git log
+- **undated TODOs** 48 штук: проставил `(YYYY-MM-DD)` у каждого
+- **broken path** 1 шт: починил ссылку `feedback_spaceweb_dns.md` в `projects/dttb/spaceweb-dns.md`
+- **orphan files** 90 штук: написал **собственный helper** `scripts/kb-add-indexes.py` который создаёт секцию `## Навигация` с wikilin
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 51 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-204659-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,44 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:46:59.114Z
+messages: 52
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Проверка прошла — всё адекватно
+
+### Frontmatter-ы аккуратные:
+
+```yaml
+notes/2026-02-26-session-summary.md:
+  date: 2026-02-26       ← взят из имени файла
+  type: note
+  tags: [note]
+
+projects/bitrix-sites.md:
+  date: 2026-04-17       ← взят из git log (создан вчера)
+  type: project          ← по папке
+  tags: [note]
+
+snippets/proxmox-console-quirks.md:
+  date: 2026-03-04
+  type: reference        ← по папке snippets → reference
+  tags: [snippet, proxmox]   ← осмысленно извлёк тему
+```
+
+### Н
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 52 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-204911-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:49:11.598Z
+messages: 53
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Safety done (hard timeout 30 мин). Теперь большой выбор.
+
+## Что осталось из плана — выбери одно
+
+| # | Задача | Время | ROI |
+|---|---|---|---|
+| **A** | **iPhone Obsidian через iCloud Drive** — symlink vault в iCloud, iPhone-Obsidian подхватывает, real-time из любого места | 30 мин | Высокий (daily) |
+| **B** | **Тест восстановления PBS** — симуляция потери LXC 136 gitea / VM 250 Nextcloud. Узнать сколько минут до рабочего состояния | 1 час | Средний (реже нужно) |
+| **C** | **RAG для openclaw
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 53 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-205136-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:51:36.699Z
+messages: 54
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Важное открытие: у тебя уже есть vault `mozg2` в iCloud-Obsidian контейнере. Значит iPhone Obsidian настроен. Но **перемещать `~/knowledge-base` в iCloud рискованно** — это ломает все пути в Stop-hook, rclone, Obsidian registry, весь день работы сегодня.
+
+## 3 реальных пути — выбирай
+
+### **A. Nextcloud iOS app + Obsidian (5 минут, 0 риска)** ⭐
+На iPhone ты уже имеешь vault на Nextcloud dttb.ru через существующий sync. Просто:
+
+1. На iPhone установи приложение **Nextcloud** (из App Store)
+2. Лог
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 54 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-205353-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T17:53:53.970Z
+messages: 55
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Nextcloud iOS уже настроен — тогда QR не нужен. Финальные шаги в нём + Obsidian iOS.
+
+## Что сделать на iPhone — 3 шага
+
+### 1. Nextcloud iOS: пометить папку для оффлайн-доступа
+- Открой Nextcloud app → Files
+- Найди папку **Knowledge Base**
+- Тапни по **«…»** (три точки) рядом с ней → **«Make available offline»** (или «Доступно офлайн»)
+- Подожди пока скачает (~4 MB, секунды)
+
+Это важно: иначе Obsidian iOS будет тормозить на каждом открытии файла, ждать скачивания.
+
+### 2. Obsidian iOS: открыть
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 55 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-211902-ghg.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T18:19:02.204Z
+messages: 25
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Нашёл причину. Смотри логи:
+
+```
+Apr 18 08:38:25 ... lane=session:agent:main:telegram:direct:1292155421 
+    error="FailoverError: Unknown model: kr/claude-sonnet-4.5"
+model fallback decision: ... next=zai/kr/claude-sonnet-4.5
+```
+
+**Твоя сессия продолжает использовать `kr/claude-sonnet-4.5` (bare, без префикса).** Я этой модели удалил из каталога, когда чистили. Каждый твой запрос:
+1. Пытается `kr/claude-sonnet-4.5` → Unknown model
+2. Падает в fallback → `zai/kr/...` → если эта тоже не сработае
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 25 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-212109-ghg.md

@@ -0,0 +1,30 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6
+started: 2026-04-17T22:15:50.961Z
+ended: 2026-04-18T18:21:09.859Z
+messages: 26
+tools: [Bash, Edit, Read, Write]
+tags: [claude, session]
+---
+
+# ghg
+
+## Запрос
+
+ghg
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Хочу уточнить — **какое именно хранилище** снести? Это необратимо, поэтому не угадываю.
+
+Варианты:
+
+| # | Что сносим | Последствия |
+|---|---|---|
+| **A** | `sessions.json` + все `.jsonl` файлы в `/root/.openclaw/agents/main/sessions/` | Все чаты с Максимкой очищаются. Бот начинает разговор "с нуля". Конфиг, кредиты, провайдеры — целы. **Самый безопасный вариант** |
+| **B** | Всё `/root/.openclaw/agents/main/` (включая `agent/models.json`) | Как (A) + сбрасывается кэш моделей. Бот пере-регистрир
+
+---
+*Автосохранено из session [`d655a41a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d655a41a-5b15-4cdc-9fcb-d0aacf6ac4a6.jsonl) — 26 сообщ., тулы: Bash, Edit, Read, Write*

notes/claude/2026-04-18-213716-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,36 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T18:37:16.548Z
+messages: 55
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ты попал в окно **«Создать хранилище в iCloud»** — это не то. Жми **Назад**, на главном экране Obsidian выбери другой вариант.
+
+## Нужный путь
+
+На экране добавления хранилища должно быть **4 варианта**:
+
+1. ❌ **Хранить в iCloud** — не это (Apple iCloud, нам не нужно)
+2. ❌ **Хранить локально** — только на iPhone, без sync
+3. ✅ **«Открыть папку в качестве хранилища»** (иногда «Open folder as vault») ← **ВОТ ЭТО**
+4. **Запустить в режиме только чтения**
+
+## Следующий шаг
+
+После выбора **«Открыть па
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 55 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-214259-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T18:42:59.107Z
+messages: 56
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ок, давай проще. Скинь скриншот **главного экрана Obsidian где видно все хранилища** (список с `mozg2` и кнопкой добавления нового).
+
+На каком именно экране запутался, тот и пришли — по нему точно укажу на какую кнопку нажимать.
+
+Пока жду — короткий альтернативный путь который может оказаться проще:
+
+## Альтернатива: через приложение «Файлы»
+
+1. Открой **приложение «Файлы»** (стандартное iOS, голубая иконка с папкой)
+2. Внизу тапни **«Обзор»**
+3. Пролистай вниз секцию **«Места»** (Locations)
+4. 
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 56 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-220025-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,36 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:00:25.202Z
+messages: 57
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+На Маке iCloud-аккаунт: **`batlaew@icloud.com`**
+
+## Важно
+
+В Mac'овском **Obsidian-iCloud контейнере** сейчас **пусто** (0 vault'ов). Но на iPhone ты видишь vault `mozg2` — значит на iPhone **другой** iCloud-аккаунт (иначе Mac тоже видел бы `mozg2`).
+
+## Проверь на iPhone
+
+**Настройки → [твоё имя сверху] → iCloud** — какой email? Если **не** `batlaew@icloud.com` — вот причина.
+
+Вариантов три:
+
+### 1. Поменять iPhone на тот же iCloud что на Маке (`batlaew@icloud.com`)
+Sign out → sign in в другой
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 57 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-220457-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,35 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:04:57.462Z
+messages: 58
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Итог iCloud vault + план фото
+
+✅ vault `knowledge-base` в iCloud: 169 md-файлов, 6.9 MB, rsync + rclone bisync настроен, Stop-hook обновлён — проверь в Obsidian iOS через 1-2 минуты.
+
+## Про фото — два реальных пути
+
+### **1. Nextcloud iOS auto-upload** ⭐ без Мака, самое простое
+
+На iPhone:
+1. **Nextcloud iOS → Настройки → Автозагрузка → Включить**
+2. Выбери «Только Wi-Fi» (чтобы не жрать мобильный трафик)
+3. Укажи папку назначения, например `/Photos/iPhone-upload/`
+4. Включи **«Загружать сущ
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 58 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-220943-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:09:43.137Z
+messages: 60
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Отлично — iPhone Obsidian готов, vault в iCloud синкается.
+
+**Экспорт Mac-фото в Nextcloud запущен в фоне** — 427-806 ассетов через File Provider, займёт минут 10-30. Никаких твоих действий пока не нужно, сам закачается.
+
+## Параллельно настрой iPhone auto-upload для НОВЫХ и iPhone-фото
+
+(Mac-фото и iPhone-фото — разные. Mac я сейчас экспортирую, iPhone — твоя часть.)
+
+### На iPhone — 4 тапа в Nextcloud app
+
+1. **Nextcloud iOS** → правый верх иконка профиля → **Автозагрузка**
+2. Включи **«Автома
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 60 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-221020-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,25 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:10:20.766Z
+messages: 60
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Экспорт перезапущен в фоне с правильным флагом `--directory` — теперь будет раскладывать по `YYYY/YYYY-MM/`. Вернусь когда закончится (или скажи сам когда хочешь промежуточный статус).
+
+Параллельно займись **iPhone auto-upload** по шагам из предыдущего сообщения (5 тапов в Nextcloud iOS) — это займёт часы фоново, лучше начинай раньше.
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 60 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-221104-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,42 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:11:04.194Z
+messages: 61
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово — 697 файлов, 3.1 GB, разложены по годам
+
+```
+Photos/
+├── 2016/
+├── 2017/
+├── 2019/
+├── 2020/
+├── 2021/
+├── 2022/2022-10/camphoto_*.jpg
+├── 2023/
+├── 2024/
+└── 2025/
+```
+
+## Что происходит сейчас в фоне
+
+macOS **File Provider** медленно аплоадит каждый файл на dttb.ru (Nextcloud сервер). Счётчик на сервере пока низкий (127 KB из 3.1 GB) — только что начался.
+
+**Скорость upload** зависит от твоего Wi-Fi. 3.1 GB через 100 Mbps = 5-10 минут, через 10 Mbps = час+. Видно в Finder иконкой об
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 61 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-221226-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:12:26.653Z
+messages: 62
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Статус плана на сегодня — почти всё закрыто
+
+### ✅ Сделано за сегодня (2026-04-18)
+| # | Задача | Результат |
+|---|---|---|
+| 1 | Fix B — env cleanup | `.zshenv` unset 7 vars, `claude` работает из Obsidian |
+| 2 | Консолидация MEMORY.md | 14 → 12 файлов, openclaw смёржен |
+| 3 | Audit расширен (NPM/Creds/DNS) | 3 новых скрипта в cron, нашли drift |
+| 4 | KB health + level 4 agent-loop | **Score 493 → 45** автоматом, Opus сам написал helper |
+| 5 | iPhone Obsidian через iCloud | vault в iCloud
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 62 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-221527-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T19:15:27.616Z
+messages: 63
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Всё зафиксировано. Утром откроешь Obsidian → Daily Notes → `2026-04-19` → там будет готовый план + ссылка на итоги сегодня.
+
+## Сегодняшний итог одной строкой
+
+**6 крупных пунктов, 25+ коммитов, KB-health 493→45, полный karpathy-style self-healing работает, iPhone/Mac связаны через iCloud+Nextcloud.**
+
+## Утром первые 3 шага
+
+1. **iPhone Nextcloud app** → Автозагрузка → 4 тумблера (5 мин)
+2. Проверить что Mac-фото (3.1 GB) доехали на dttb.ru
+3. Запустить ручной второй прогон agent-loop — ради лю
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 63 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-18-235939-ты-можешь-помочь-максимке.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-18
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T20:59:39.307Z
+messages: 2
+tools: [Read]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Конечно — но мне нужен контекст. Кто такой Максимка и с чем помочь?
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 2 сообщ., тулы: Read*

notes/claude/2026-04-19-000349-ты-можешь-помочь-максимке.md

@@ -0,0 +1,25 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:03:49.747Z
+messages: 3
+tools: [Bash, Grep, Read]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Хорошие новости:
+- **Twitter/X работает сегодня** — `twitter.com 301`, `x.com 200` (вчерашние 403 отпустило).
+- **Podkop:** процесс `sing-box` живой (pid 9349), но `/etc/init.d/podkop status` говорит "not running" — init.d не видит процесс.
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 3 сообщ., тулы: Bash, Grep, Read*

notes/claude/2026-04-19-000502-ты-можешь-помочь-максимке.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:05:02.640Z
+messages: 4
+tools: [Bash, Grep, Read]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Включаю sing-box autoenable:
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 4 сообщ., тулы: Bash, Grep, Read*

notes/claude/2026-04-19-001249-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-18T21:12:49.621Z
+messages: 64
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Три шортката + Opus по умолчанию.
+
+## Что получил
+
+| Команда | Действие |
+|---|---|
+| `/maxim` | Всё про openclaw Максимку одной командой: pct status, gateway логи, ошибки, предложение fix из памяти |
+| `/kb-status` | Health score, последние sync на code-server/openclaw, git state, свежесть audit'ов |
+| `/sync-now` | Вручную прогнать все 3 sync-канала (Nextcloud, iCloud, git) |
+
+Плюс `"model": "opus"` в `~/.claude/settings.json` — теперь CLI по умолчанию использует Opus 4.7 (а не Sonnet)
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 64 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-001501-ты-можешь-помочь-максимке.md

@@ -0,0 +1,25 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:15:01.586Z
+messages: 5
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Нашёл корень. В форме два поля: `input[data-testid="auth_login_input"]` (уже с `+7 903 128 43 45`) и `input[type="password"]` (**пустое**). Скрипт через `keyboard.type` заполнил только первое, Tab не перевёл фокус на пароль, Enter ушёл в никуда. Фейковое "Вход успешен!" сработало потому что URL `n.php` содержит "backoffice".
+
+Переписываю логин через явные селекторы:
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 5 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-001743-ты-можешь-помочь-максимке.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:17:43.951Z
+messages: 6
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+МТС ID — это тоже 2FA (push в приложение МТС или SMS), так что headless-бот туда сам не зайдёт. Он помогает тебе войти легко в браузере, но не помогает парсеру.
+
+Правильная комбинация: **ты входишь вручную (любым способом — МТС ID, SMS, пароль+2FA) → Playwright сохраняет `storage_state.json` → парсер на LXC использует его и логин не нужен совсем**. Сессия profi.ru живёт долго, обычно недели-месяцы.
+
+План:
+
+1. На Mac (где ты можешь принять push/SMS) я запущу скрипт `save_session.py` — откроется н
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 6 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-002125-ты-можешь-помочь-максимке.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:21:25.391Z
+messages: 7
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Теперь запусти сам (я не могу взять на себя ввод в браузер и принятие пуша) — открой новый терминал или прямо здесь:
+
+```
+! cd /Users/ai/profi-session && /tmp/pw-mac/bin/python save_session.py
+```
+
+Откроется окно Chromium с profi.ru. Войди как удобно (МТС ID или SMS), дождись страницы заказов, вернись в терминал и жми Enter. Скрипт сохранит `/Users/ai/profi-session/profi_state.json`.
+
+После этого скажи мне — я перенесу state на LXC 137, перепишу парсер под него и поставлю systemd-юнит.
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 7 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-002415-ты-можешь-помочь-максимке.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:24:15.570Z
+messages: 8
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Файла `profi_state.json` нет на месте. Возможные причины:
+- скрипт не запускался (не нажал `!` в Claude Code или запустил в другом каталоге);
+- закрыл окно браузера крестиком вместо Enter в терминале — тогда `storage_state` не успел записаться.
+
+Покажи что вышло — запусти ещё раз:
+
+```
+! cd /Users/ai/profi-session && /tmp/pw-mac/bin/python save_session.py
+```
+
+Важно: Chromium должен оставаться открытым до момента, когда ты нажмёшь Enter **в терминале**. Enter нажал — тогда скрипт сохранит state 
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 8 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-002610-ты-можешь-помочь-максимке.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:26:10.231Z
+messages: 9
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Лимиты на Sonnet через OmniRoute:**
+
+- **Провайдер:** только `kiro`, модель `claude-sonnet-4.5`
+- **За 24 ч:** 678 звонков, 54.9M токенов вход / 23k выход
+- **429 (rate-limit):** 0 за сутки, 1 за последние 48ч — **в лимит не упираешься**
+- **402 (quota):** 10+ за двое суток — 1 ключ из 5 kiro (`c58a84d2…`) исчерпан (`quota_exhausted`). Остальные 4 активны, OmniRoute переключается на них автоматом
+- **Последний пик:** 19-21 часа UTC вчера (103 + 60 звонков/час) — прошёл чисто
+
+Итог: Сонет стаби
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 9 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-002727-ты-можешь-помочь-максимке.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:27:27.583Z
+messages: 10
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**На месяц — впритык, но пролетишь:**
+
+- 1 ключ сгорает за ~6 дней (156M токенов — вчера первый ключ `c58a84d2` исчерпался за это время).
+- Сегодня утром OmniRoute выпустил 4 свежих ключа Kiro → запаса ~24 дня при текущем темпе.
+- `provider_key_limits` для kiro пустой — OmniRoute может подбирать новые ключи автоматом, лимитов на их выпуск нет.
+
+Реалистично: к 11-12 мая (~24 дня) потребуется либо дать OmniRoute сгенерить ещё пачку, либо он это сделает сам при 402. В месяц уложишься, если апрельск
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 10 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-002802-ты-можешь-помочь-максимке.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: 96ff8798-e3ce-4720-923d-6122d1018aca
+started: 2026-04-18T20:58:50.409Z
+ended: 2026-04-18T21:28:02.071Z
+messages: 11
+tools: [Bash, Grep, Read, Write]
+tags: [claude, session]
+---
+
+# ты можешь помочь максимке
+
+## Запрос
+
+ты можешь помочь максимке
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Разумно. Схема простая: следи за `last_error_type='quota_exhausted'` — как только 2+ ключа в этом статусе, подкидывай новые через Kiro-авторизацию в OmniRoute. Быстрая проверка:
+
+```bash
+sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 132 -- sqlite3 /root/.omniroute/storage.sqlite \"SELECT COUNT(*) FROM provider_connections WHERE provider='kiro' AND last_error_type='quota_exhausted';\""
+```
+
+Если хочешь, могу повесить cron на code-server — раз в день проверяет счётчик и шлёт в Telegram алерт
+
+---
+*Автосохранено из session [`96ff8798`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/96ff8798-e3ce-4720-923d-6122d1018aca.jsonl) — 11 сообщ., тулы: Bash, Grep, Read, Write*

notes/claude/2026-04-19-094340-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T06:43:40.713Z
+messages: 65
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово
+
+### Починено на openclaw (Максимке):
+1. **Conflict-файл** `nextcloud-sync-schema.md.conflict2` удалён
+2. **`/root/clawd/AGENTS.md`** переписан — теперь при каждой сессии бот читает про:
+   - актуальную KB в `/root/knowledge-base/` (клон vault, обновляется каждые 15 мин)
+   - decisions про sync-схему и level 4 agent-loop
+   - скрипты автоматизации (`/scripts/`), аудит-отчёты (`/audit/`)
+   - ссылки на твои credentials, proxmox-inventory, npm-hosts
+
+Теперь если попросишь в Telegram «как
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 65 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-094629-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T06:46:29.806Z
+messages: 66
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Стоп — **Максимка тебя обманул про «корпати»** 😅
+
+**Karpathy** — это **Андрей Карпати**, человек. Известный ML-исследователь (бывший OpenAI, ex-Tesla AI). Его GitHub-проект `karpathy/autoresearch` — именно то, что мы повторили:
+- AI-агент читает код, предлагает изменения
+- Метрика (у него val_bpb, у нас kb-health score)
+- Автомерж если метрика улучшилась, reset если ухудшилась
+
+Не copy-paste. Скажи боту чтобы запомнил правильно, или я коммитну в memory фикс.
+
+---
+
+## Про WinServer для Profi.ru —
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 66 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-094854-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,29 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T06:48:54.839Z
+messages: 67
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово — два фронта закрыты:
+
+1. **На openclaw** (`/root/clawd/MEMORY.md`): явная секция «Karpathy — это ЧЕЛОВЕК, не метод копипаста» + что такое autoresearch. Бот читает при каждом старте сессии.
+
+2. **В vault** (`notes/karpathy-method.md`): подробное объяснение с ссылками на наши скрипты. Закоммичено, через 15 мин openclaw подтянет новой версией своего `/root/knowledge-base/` клона.
+
+**Следующий раз как спросишь Максимке про корпати** — ответит корректно. Если всё ещё будет путаться — значит с
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 67 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-103216-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T07:32:16.193Z
+messages: 68
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Skills работают так: каждый skill — папка с `SKILL.md` (манифест + промпт). Бот **сам подхватывает** нужный skill по контексту запроса, и если нужен внешний bin (типа `obsidian-cli`) — ставит через brew/apt.
+
+## Выбираем какие включить
+
+Реально полезное тебе:
+
+| Skill | Что реально сделает | Нужны зависимости |
+|---|---|---|
+| **obsidian** | Telegram: «найди заметку про VPN» → бот ищет в твоём vault | obsidian-cli |
+| **coding-agent** | `@maxim через опус сделай X` → опус на code-server с полным
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 68 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-103754-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T07:37:54.765Z
+messages: 69
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово — 3 skills активированы
+
+### Что установлено и работает
+| Skill | Как | Протестировано |
+|---|---|---|
+| **obsidian** | `obsidian-cli` v0.3.5 (notesmd-cli) на openclaw + vault зарегистрирован в `~/.config/obsidian/obsidian.json` | ✅ list + print + list-vaults |
+| **coding-agent** | Через наш wrapper `/root/clawd/scripts/claude-code-wrapper.sh` (не native skill) | ✅ протестировано ранее |
+| **summarize** | Без bin-а, бот читает файлы сам | готов |
+
+### Gateway рестартнут
+`openclaw-gatew
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 69 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-19-104328-httpsgithubcomcursortouchmacos-mcp-настрой.md

@@ -0,0 +1,40 @@
+---
+date: 2026-04-19
+type: claude-session
+session_id: e2efd10b-e06b-4d4a-a11e-0dff4d928bc3
+started: 2026-04-16T22:27:27.766Z
+ended: 2026-04-19T07:43:28.003Z
+messages: 70
+tools: [Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait]
+tags: [claude, session]
+---
+
+# https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Запрос
+
+https://github.com/CursorTouch/MacOS-MCP настрой
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Бот отвечает** — 3 запроса от тебя обработаны. Статус:
+
+## Что происходит в логах
+
+### ✅ Работает
+- Gateway запущен, 7 плагинов активны (включая telegram @maxim_dttb_bot)
+- **3 твоих запроса** обработаны: 7:40, 7:41, 7:42
+- Все через fallback успешно завершены
+
+### ⚠ Медленно из-за FailoverError на старой сессии
+```
+kr/claude-sonnet-4.5 → UNKNOWN → fallback → zai/kr/claude-sonnet-4.5 → OK
+```
+
+**Overhead на каждый запрос:**
+- Первый: ~71 сек (07:40→07:41:34) — **долго**
+- Второй: ~4 сек
+- Трет
+
+---
+*Автосохранено из session [`e2efd10b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/e2efd10b-e06b-4d4a-a11e-0dff4d928bc3.jsonl) — 70 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Skill, TodoWrite, ToolSearch, WebFetch, Write, mcp__macos-mcp__App, mcp__macos-mcp__Shell, mcp__macos-mcp__Snapshot, mcp__macos-mcp__Wait*

notes/claude/2026-04-20-095720-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T06:57:20.111Z
+messages: 3
+tools: [Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Скриншот подтверждает диагноз: **IP клиента 85.235.181.190 — это Финский VPS** (тот самый `78.17.4.225` маскируется через выходную ноду). Сайт видит зарубежный IP и блокирует.
+
+## Что такое список `russia_inside`
+
+Списки podkop берутся из репозитория [itdoginfo/allow-domains](https://github.com/itdoginfo/allow-domains). Названия объясняют **где сайт работает**, а не где его юзать:
+
+| Список | Что в нём | Для кого полезен |
+|--------|-----------|------------------|
+| `russia_inside` | Российские 
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 3 сообщ., тулы: Glob, Grep, Read*

notes/claude/2026-04-20-095844-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T06:58:44.629Z
+messages: 6
+tools: [Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Скриншот подтверждает диагноз: **IP клиента 85.235.181.190 — это Финский VPS** (тот самый `78.17.4.225` маскируется через выходную ноду). Сайт видит зарубежный IP и блокирует.
+
+## Что такое список `russia_inside`
+
+Списки podkop берутся из репозитория [itdoginfo/allow-domains](https://github.com/itdoginfo/allow-domains). Названия объясняют **где сайт работает**, а не где его юзать:
+
+| Список | Что в нём | Для кого полезен |
+|--------|-----------|------------------|
+| `russia_inside` | Российские 
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 6 сообщ., тулы: Glob, Grep, Read*

notes/claude/2026-04-20-100507-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,40 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T07:05:07.944Z
+messages: 7
+tools: [Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Скорее всего кэш — либо FakeIP, либо браузер/система клиента. Давай продиагностируем.
+
+## Шаг 1. Проверить что sing-box подхватил новый конфиг
+
+```bash
+ssh root@192.168.1.50
+
+# Текущие списки
+uci show podkop | grep community_lists
+# Должно быть ТОЛЬКО russia_outside (или russia_outside + meta + telegram)
+# russia_inside — НЕ ДОЛЖНО быть!
+
+# Что отдаёт sing-box для nspd.gov.ru
+nslookup nspd.gov.ru 127.0.0.42
+```
+
+**Интерпретация:**
+- Вернул `198.18.x.x` (FakeIP) → правило ещё работает на проксиро
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 7 сообщ., тулы: Glob, Grep, Read*

notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T07:10:23.703Z
+messages: 8
+tools: [Bash, Edit, Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Документация обновлена в [openwrt-bypass.md](projects/niikn/openwrt-bypass.md). Жду подтверждения что сайт открылся.
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 8 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

notes/claude/2026-04-20-101224-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,37 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T07:12:24.632Z
+messages: 9
+tools: [Bash, Edit, Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Client IP всё ещё финский VPS — значит клиент по-прежнему получает FakeIP `198.18.x.x` и трафик идёт через AWG. DNS override на OpenWrt работает (проверено), но клиент его не использует. Скорее всего **браузер использует DoH** (DNS over HTTPS) — это обходит DNS на роутере полностью.
+
+## Проверь на клиенте
+
+Открой cmd/PowerShell на Windows и выполни:
+
+```cmd
+ipconfig /flushdns
+nslookup nspd.gov.ru
+nslookup nspd.gov.ru 192.168.1.50
+```
+
+Покажи вывод. Это покажет:
+- Какой реально DNS используется
+-
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 9 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

notes/claude/2026-04-20-101319-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,33 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T07:13:19.975Z
+messages: 10
+tools: [Bash, Edit, Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+DNS на OpenWrt отдаёт правильные IP — `2.63.246.x`. Значит клиент **не использует** этот DNS, а ходит мимо него (DoH в браузере).
+
+На скриншоте у тебя был **Yandex Browser** — его и фиксим.
+
+## Yandex Browser — отключить DoH
+
+1. Открой: `browser://settings/security`
+2. Прокрути до раздела **"Защита от угроз"**
+3. Найди **"Защищать соединение от DNS-спуфинга"** или **"DNS over HTTPS"** → **выключи**
+4. Закрой и снова открой браузер
+5. Зайди на `nspd.gov.ru` (можно сразу в инкогнито: `Ctrl+Shift+N
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 10 сообщ., тулы: Bash, Edit, Glob, Grep, Read*

notes/claude/2026-04-20-101433-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T07:14:33.340Z
+messages: 11
+tools: [Bash, Edit, Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+**Это победа!** 🎉
+
+`404 Not Found` приходит от **самого сервера НСПД** — значит трафик дошёл туда напрямую с российского IP. Раньше был `403 Запрещено` (блокировка из-за финского IP) — теперь блокировки нет.
+
+`404` на корне — это нормально, у НСПД главная отдаётся через JS, корень `/` без параметров часто отвечает 404. Реальный сайт — на `https://nspd.gov.ru/map` или `/#top_section`.
+
+## Проверь в браузере
+
+Если уже отключил DoH в Yandex Browser:
+
+1. **Закрой все вкладки nspd.gov.ru**
+2. **Перез
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 11 сообщ., тулы: Bash, Edit, Glob, Grep, Read*