oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

merge into: oleg:claude/great-mirzakhani-3bd52c
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a
...
pull from: oleg:main
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a

263 Commits
claude/gre ... main

Author SHA1 Message Date
code-server
ede8e5f4d0 code-server auto-sync 2026-06-28T06:05:01+00:00 2026-06-28 06:05:01 +00:00
code-server
73ea32fa72 code-server auto-sync 2026-06-28T00:05:02+00:00 2026-06-28 00:05:02 +00:00
root
3298ebfe71 auto-backup claude-memory 2026-06-28_00:00 2026-06-28 00:00:46 +00:00
code-server
ea66be0c84 code-server auto-sync 2026-06-27T23:05:01+00:00 2026-06-27 23:05:01 +00:00
dttb
4d92eaca2e Merge branch 'main' of https://git.dttb.ru/oleg/knowledge-base 2026-06-28 02:01:02 +03:00
dttb
3f71986097 NPM: диск LXC 103 вырос 8G->16G; заметка про thin-пул 94.91% 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-28 02:01:01 +03:00
code-server
dcbd18f7f9 code-server auto-sync 2026-06-27T22:55:01+00:00 2026-06-27 22:55:01 +00:00
dttb
658049ef50 Merge branch 'main' of https://git.dttb.ru/oleg/knowledge-base 2026-06-28 01:54:36 +03:00
dttb
42d1b4ad85 NPM: troubleshooting disk-full LXC 103 (git push 500), защита логов 
Корень падения git push по HTTPS: диск NPM 100% забит логами host-22
(trust_forwarded_proto warning флуд). Truncate + cron npm-log-cap (>200M).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-28 01:54:23 +03:00
code-server
8f1b609e56 code-server auto-sync 2026-06-27T22:50:02+00:00 2026-06-27 22:50:02 +00:00
dttb
ddb904ca21 Merge branch 'main' of https://git.dttb.ru/oleg/knowledge-base 2026-06-28 01:43:39 +03:00
dttb
58fd3fa17a mailcow dttb: спам-фикс, SSL, апдейт 2026-05c, BIMI+подпись, Roundcube, сбор почты 
- фикс входящего спама: No-SNAT на OpenWrt (видел все письма как 10.0.0.1)
- SSL mail-портов: cert из NPM + cron-синхрон на Proxmox
- апдейт mailcow 2026-01 -> 2026-05c; урок: forward-zone unbound обязателен (RKN режет рекурсию)
- логотип UI, BIMI-SVG (Tiny PS) + хостинг, HTML-подпись
- Roundcube на /rc (bind-mount, public_html)
- внешний сбор почты Яндексом (IMAP/POP3)
- snippets: sync-mailcow-cert.sh, dttb-mail-branding/

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-28 01:43:19 +03:00
code-server
01036fe2d9 code-server auto-sync 2026-06-27T19:15:02+00:00 2026-06-27 19:15:02 +00:00
dttb
b7bd90ae87 Homepage: группа 'OpenWrt роутеры' (все 10) + Sergey/Lipki остаются в Клиентах 
- workflow-скан vault → 10 OpenWrt-роутеров, ping по NetBird (7 UP, 3 down: Olivier/Переделки/Красногорск)
- Sergey/Lipki = клиенты с подкопом, дублируются в обеих группах (правка Олега)
- итого 8 групп / 45 сервисов

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-27 22:12:11 +03:00
code-server
29842b2806 code-server auto-sync 2026-06-26T21:50:02+00:00 2026-06-26 21:50:02 +00:00
dttb
ead03fcf9f Homepage 2-я итерация: glances хоста, доска клиентов (NetBird), закладки, watchdog 
- группа 'Хост Proxmox': 6 glances-виджетов (CPU/RAM/темпы/диски/сеть) с pve-хоста :61208
- LXC 145 в NetBird 100.70.113.28 → доска клиентов (ping НИИКН/ММФБ/Бужарово/Знаменское/Главторг/Sergey/Lipki)
- bookmarks.yaml (NetBird/Spaceweb/Hostkey/claude.ai usage)
- netbird-watchdog */5; находка: jobs.cfg пуст (нет бэкапов) — отдельная задача

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-27 00:49:50 +03:00
code-server
0f2f005f38 code-server auto-sync 2026-06-26T21:35:01+00:00 2026-06-26 21:35:01 +00:00
dttb
4010fbd235 Homepage: перенос на 10.0.0.148 — был конфликт IP на .145 (502/refused) 
.145 оказался занят чужим устройством (MAC ac:ba:c0:39:82:64): pve резолвил в контейнер,
а NPM и NetBird-клиенты — в чужого → 502 на dash.dttb.ru. Перенесли на свободный .148
(проверено ARP), NPM forward_host обновлён, HOMEPAGE_ALLOWED_HOSTS поправлен.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-27 00:32:48 +03:00
code-server
67002f5dc2 code-server auto-sync 2026-06-26T21:25:02+00:00 2026-06-26 21:25:02 +00:00
dttb
3fe379f12c Homepage дашборд на dash.dttb.ru (LXC 145): live-виджеты Proxmox/NPM/Gitea/NC, Basic Auth 
- LXC 145 homepage, Docker, 22 сервиса в 5 группах
- read-only доступы: PVEAuditor токен, Gitea PAT, NC app-password
- грабли: docker.io SNI-блок РКН (зеркало Яндекса), split-DNS hosts, NPM+authentik forward-auth
- authentik forward-auth отложен (localhost в authorize) → пока NPM Basic Auth

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-27 00:23:13 +03:00
code-server
9c11b205ec code-server auto-sync 2026-06-26T16:20:02+00:00 2026-06-26 16:20:02 +00:00
dttb
d39ddb989d authentik SSO/IdP на auth.dttb.ru (LXC 144): пилот OIDC Open WebUI+Gitea, обязательная 2FA 
- LXC 144 Debian12/Docker, server+worker+postgres (2026.5.3, без Redis)
- NPM #41 auth.dttb.ru, LE cert id133, публичная A-запись Spaceweb
- OIDC: Open WebUI (chat) + Gitea (git, ROOT_URL→https)
- 2FA обязательна на IdP (TOTP/WebAuthn force-enroll)
- принцип «2FA через нужную дверь» (OIDC, не forward-auth)
- критичную инфру не трогали; остался ручной enrollment Олега

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-26 19:17:10 +03:00
code-server
15ecf46a4a code-server auto-sync 2026-06-26T14:20:02+00:00 2026-06-26 14:20:02 +00:00
dttb
12705f148f German: веб-дашборд Hermes на german.dttb.ru (NPM #40, LE id130) 
Подняли родную панель hermes dashboard на LXC 141 за NPM с basic_auth.
Грабля: флаг --insecure отключает cookie-gate (включает легаси _SESSION_TOKEN)
→ login ok, но всё внутри 401. Фикс: бинд 0.0.0.0 БЕЗ --insecure.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-26 17:15:32 +03:00
dttb
14249577bc Бенелюкс: сторож восстановления обхода (Этап 1) — мониторинг+автолечение на LXC137, боевой тест пройден 2026-06-26 17:15:32 +03:00
code-server
80a93d6355 auto-sync from MEMORY.md (2026-06-25 15:57) 2026-06-25 15:57:57 +00:00
code-server
ad553f55f9 code-server auto-sync 2026-06-25T15:30:02+00:00 2026-06-25 15:30:02 +00:00
code-server
36ab747d3d code-server auto-sync 2026-06-25T15:25:02+00:00 2026-06-25 15:25:02 +00:00
code-server
0fa253e614 code-server auto-sync 2026-06-25T14:40:02+00:00 2026-06-25 14:40:02 +00:00
code-server
0e17414dae НИИКН: ПК DESKTOP-35C8VMI — владелец Настя (научный сотрудник) 2026-06-25 14:30:30 +00:00
code-server
87f6da4edb НИИКН: онбординг нового ПК DESKTOP-35C8VMI (NetBird 100.70.250.72 + RustDesk 132920982); привязка к аккаунту — TODO 2026-06-25 14:29:29 +00:00
code-server
8736841c52 netbird-claude-install: обновлён setup-key (истёк 2026-05-21 → новый до 2026-07-25) 2026-06-25 14:08:32 +00:00
code-server
4007be2fd6 code-server auto-sync 2026-06-25T14:00:02+00:00 2026-06-25 14:00:02 +00:00
code-server
4385db3b8a auto-sync from MEMORY.md (2026-06-24 11:47) 2026-06-24 11:47:40 +00:00
code-server
f4ef7e485a code-server auto-sync 2026-06-23T20:15:02+00:00 2026-06-23 20:15:02 +00:00
dttb
f86e6df508 Бужарово TR3000: грабля LuCI awg0 'Unsupported' = нет uqr.js (зависимость luci-proto-amneziawg при ручном переносе) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 23:13:26 +03:00
code-server
4089e60259 code-server auto-sync 2026-06-23T19:40:01+00:00 2026-06-23 19:40:01 +00:00
dttb
60644c4e57 Бужарово TR3000: LAN проверен — пул .100-.238, IPv6 на LAN отключён (анти-утечка FakeIP) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 22:37:01 +03:00
code-server
1a8041398c code-server auto-sync 2026-06-23T19:35:01+00:00 2026-06-23 19:35:01 +00:00
dttb
82a4f311bc Бужарово TR3000: чеклист установки на объекте + источник amneziawg-пакетов (домашний роутер) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 22:33:50 +03:00
code-server
0a530ad82e code-server auto-sync 2026-06-23T19:00:01+00:00 2026-06-23 19:00:01 +00:00
dttb
866c393dad Бужарово TR3000-шлюз: статик-лизы Server1C+кассы, проброс RDP 3389, миграция настроек со старого WR6500H 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 21:58:47 +03:00
dttb
67c28bb27d podkop-reference: iPhone «видео стопорится» = Ограничение отслеживания IP 
Уточнил граблю «клиент обходит DNS роутера»: на iPhone первым делом выключать
Wi-Fi → Ограничение отслеживания IP-адреса (default-on в iOS, шифрованный DNS
мимо роутера, бьёт приложения, не только Safari). Дом 2026-06-23: iPhone
Надежды, Instagram-видео «играет и стопорится» при здоровом туннеле — лечилось
этим, не роутером.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 21:58:47 +03:00
code-server
731c23c8cf code-server auto-sync 2026-06-23T17:20:02+00:00 2026-06-23 17:20:02 +00:00
dttb
81833de405 Бужарово роутер: веб-терминал LuCI (ttyd) — url_override на NetBird-IP 
ttyd writable и работает, но окно терминала было «не активно»: LuCI открывали
на 192.168.1.1, а этот адрес коллизит с НИИКН/Переделки в NetBird → iframe
терминала на 192.168.1.1:7681 уходил не туда. Фикс: url_override=
http://100.70.113.251:7681 (стабильный NetBird-IP). Рекомендация — открывать
роутер по NetBird-IP, а не 192.168.1.1.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 20:17:02 +03:00
code-server
c948083691 code-server auto-sync 2026-06-23T17:10:02+00:00 2026-06-23 17:10:02 +00:00
dttb
ae23321d10 Бужарово роутер: переименован Severny-Les, подключён к NetBird 
- hostname Severni_Les → Severny-Les (корректная латиница).
- NetBird: 100.70.113.251 (severny-les-113-251.netbird.cloud), Claude-Diag,
  --disable-dns; firewall-зона nbird (wt0: input ACCEPT, forward REJECT) —
  без неё SSH на NetBird-IP = refused. Прямой доступ ssh root@100.70.113.251.
- Также зафиксирован фикс DoH: dns_server=1.1.1.1/dns-query (без https://,
  иначе баг парсера диагностики podkop) — из прошлой правки.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 20:06:37 +03:00
code-server
ba34434f2b code-server auto-sync 2026-06-23T16:50:02+00:00 2026-06-23 16:50:02 +00:00
dttb
0c957bfa34 Бужарово podkop: DoH по IP (1.1.1.1/dns-query) вместо хостнейма dns.google 
Диагностика podkop краснела на «Основной DNS»: при dns_server=8.8.8.8 podkop
подставляет каноничный DoH-URL https://dns.google/dns-query (хостнейм), а его
надо резолвить через bootstrap по :53 — за домашним хайджеком хрупко. Фикс:
dns_server='https://1.1.1.1/dns-query' (url_get_host=IP → bootstrap не нужен,
sing-box стучит прямо на 1.1.1.1:443). Диагностика зелёная, обход стабилен.
Поправлены podkop-router.md, podkop-reference §5 и §9.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 19:46:06 +03:00
code-server
8e411df486 code-server auto-sync 2026-06-23T16:40:02+00:00 2026-06-23 16:40:02 +00:00
dttb
c9b1d73bde Бужарово: podkop-роутер Severni Les (Cudy TR3000) — заработал на DoH 
- Новый роутер обхода для стройрынка: Финляндия awg0, podkop 0.7.19, lists meta/youtube/telegram.
- Корень «обход не работал» (telegram/youtube 000 при живом туннеле): роутер стоит
  WAN'ом за домашним catch-all :53-хайджеком → восходящий резолв sing-box перехватывался,
  возвращался домашний FakeIP → sing-box звонил на FakeIP → timeout. Фикс: dns_type=doh
  (резолвер по 443 минует :53-хайджек). Версия sing-box / dns_server были ни при чём.
- Также: download_lists_via_proxy=1/main (rule-set'ы через туннель.
- podkop-reference §5: добавлена грабля «podkop за чужим DNS-хайджеком → DoH»;
  §9 inventory: добавлен Severni Les, HomeLab обновлён на awg2.
- Новый файл projects/buzharovo/podkop-router.md + линк из README.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
MSG
)
 2026-06-23 19:38:02 +03:00
code-server
f6bae7cbac code-server auto-sync 2026-06-23T15:55:02+00:00 2026-06-23 15:55:02 +00:00
dttb
3d71b56ae3 Домашний роутер: awg2 (Финляндия) рабочий — корень был rp_filter, не протокол 
- Корень «awg2 не ходил»: строгий rp_filter=1 на интерфейсе дропал transport
  из туннеля (handshake жив, транзит 0%). awg0 работал на rp_filter=2 (loose).
  При заведении финского awg2 строка rp_filter=2 не была добавлена (для awg0 была).
- Фикс на роутере: net.ipv4.conf.awg2.rp_filter=2 в /etc/sysctl.conf
  + hotplug 99-awg-rpfilter (loose на все awg* при ifup). podkop → awg2.
- podkop-reference §5: добавлена грабля rp_filter (handshake-есть-транзита-нет).
- Снято неверное «awg2 сломан / OpenWrt не тянет AWG 1.5» — сервер/протокол исправны.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 18:50:55 +03:00
code-server
9fb19f4122 code-server auto-sync 2026-06-23T11:00:02+00:00 2026-06-23 11:00:02 +00:00
dttb
098b1fe421 manual sync 2026-06-23 13:58:02 +03:00
dttb
b8bef27825 Хардинг финского VPS: SSH key-only (awg-fi), ufw 22+41624, fail2ban; панель переведена на ключ 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 13:56:51 +03:00
code-server
984ae0b008 code-server auto-sync 2026-06-23T10:45:01+00:00 2026-06-23 10:45:01 +00:00
dttb
80c86871f8 Amnezia panel: финский VPS (AWG2, port 41624) заведён в панель — адаптация app-установки + клиент Олега виден 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 13:44:49 +03:00
code-server
0dd8099154 code-server auto-sync 2026-06-23T10:15:01+00:00 2026-06-23 10:15:01 +00:00
dttb
a63b4476eb Amnezia Web Panel: LXC 143 — control-plane VPN-нод (NetBird-only), HOSTKEY Finland хаб; persistence data.json через bind-mount 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-23 13:00:25 +03:00
code-server
01930b0fbf code-server auto-sync 2026-06-22T12:05:02+00:00 2026-06-22 12:05:02 +00:00
dttb
9c7c3fc23e Решение: podkop для Бужарово — Cudy TR3000 во главе (Вариант B), WR6500H→AP; роутер опознан, разведка + миграция 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-22 15:01:36 +03:00
code-server
d6df733d08 code-server auto-sync 2026-06-22T03:10:02+00:00 2026-06-22 03:10:02 +00:00
dttb
0b4a87c1f0 Open WebUI: способности — веб-поиск, code interpreter, RAG по базе (193 файла, cron-синк) + модель «Ассистент Олега» 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-22 06:07:54 +03:00
code-server
bac7a0992d code-server auto-sync 2026-06-22T02:20:01+00:00 2026-06-22 02:20:01 +00:00
dttb
993bc95f05 Open WebUI: дефолт cc/claude-opus-4-8 + фикс 0 моделей (ключ OmniRoute = пустой) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-22 05:19:04 +03:00
code-server
0da0350341 code-server auto-sync 2026-06-22T02:05:02+00:00 2026-06-22 02:05:02 +00:00
dttb
96d16306ca Open WebUI на home lab: LXC 142 → chat.dttb.ru поверх OmniRoute (NPM id39, LE id129) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-22 05:00:27 +03:00
code-server
2f1b26501f code-server auto-sync 2026-06-22T00:05:01+00:00 2026-06-22 00:05:01 +00:00
root
4d856ced85 auto-backup claude-memory 2026-06-22_00:00 2026-06-22 00:00:46 +00:00
code-server
d9b01031e0 code-server auto-sync 2026-06-21T21:45:02+00:00 2026-06-21 21:45:02 +00:00
dttb
e5084e8d1c Принтер Александра: IP сменился .148→.147 (DHCP), CUPS перенацелен напрямую, IP зафиксированы; принтер чинён 2026-06-21 2026-06-22 00:44:30 +03:00
code-server
3d53a8db09 code-server auto-sync 2026-06-21T21:40:02+00:00 2026-06-21 21:40:02 +00:00
dttb
742e44bf18 podkop: грабля 'роутер ходит, LAN-клиенты нет' (залип FakeIP/tproxy форварда) — Бенелюкс 2026-06-21, висли агенты swarmclaw; фикс = restart podkop+cache 2026-06-22 00:39:16 +03:00
code-server
b7bf217f94 code-server auto-sync 2026-06-21T21:25:01+00:00 2026-06-21 21:25:01 +00:00
dttb
026c69e061 German: api_max_retries 6→1 + fallback cx/gpt-5.5 первым (фикс 9-мин зависаний при капе Max); OmniRoute 3.8.29 + чистка db_backups 2026-06-22 00:24:46 +03:00
code-server
4e0d14a20f code-server auto-sync 2026-06-21T06:05:01+00:00 2026-06-21 06:05:01 +00:00
code-server
de012fc782 code-server auto-sync 2026-06-20T16:20:02+00:00 2026-06-20 16:20:02 +00:00
dttb
2ab09babeb German Hermes: handoff по 400 out-of-usage (cc/* OmniRoute) — корень=маршрутизация ключа на перегруженный аккаунт + burst-пики Max; фиксы (привязка к batlaew + retry-патч) и что осталось (Extra usage/разгрузка SwarmClaw) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-20 19:19:59 +03:00
code-server
6a694e0d86 code-server auto-sync 2026-06-20T12:25:02+00:00 2026-06-20 12:25:02 +00:00
dttb
1d607b2cae Свежий бэклог открытых задач (авто-скан decisions+projects+память) — точка входа для Cowork 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-20 15:22:06 +03:00
code-server
bc5772805d code-server auto-sync 2026-06-19T12:05:01+00:00 2026-06-19 12:05:01 +00:00
root
459293567e auto-backup claude-memory 2026-06-19_12:00 2026-06-19 12:00:45 +00:00
code-server
358640fe2b code-server auto-sync 2026-06-19T11:00:02+00:00 2026-06-19 11:00:02 +00:00
dttb
d05eb4d647 German fallback → cc/sonnet-4-6 → cx/gpt-5.5 (Kiro-креды в OmniRoute сдохли); пометка про kr/* в omniroute 2026-06-19 13:55:54 +03:00
code-server
a926949c9f code-server auto-sync 2026-06-18T20:40:01+00:00 2026-06-18 20:40:01 +00:00
dttb
b1f6c50651 pve-147: VM 100 ZimaOS удалена (qm destroy, ~83G освобождено); German доступ на LXC102; пароль pve исправлен (1qaz!QAZ, j5DS мёртв) 2026-06-18 23:39:34 +03:00
code-server
7177efcf3e code-server auto-sync 2026-06-18T20:10:01+00:00 2026-06-18 20:10:01 +00:00
dttb
857009616b Бенелюкс: добавлен SSH-ключ ассистента German (LXC 141) на Cudy 2026-06-18 23:07:34 +03:00
code-server
b1eb62e2a1 code-server auto-sync 2026-06-18T19:55:01+00:00 2026-06-18 19:55:01 +00:00
dttb
38d7b1a168 German: вернул Opus 4.8 (400 был транзиентным окном Max, не лимитом — проверено curl) 2026-06-18 22:54:05 +03:00
code-server
77f5403eb7 code-server auto-sync 2026-06-18T19:50:02+00:00 2026-06-18 19:50:02 +00:00
dttb
4ff5e73142 German: подключён к NetBird (100.70.99.82, Claude-Diag); apt-репо вместо GitHub install.sh + --disable-dns 2026-06-18 22:49:57 +03:00
code-server
25ffa0b416 code-server auto-sync 2026-06-18T19:25:02+00:00 2026-06-18 19:25:02 +00:00
dttb
055b3fe35c German: primary на kr/sonnet-4.5 (cc/opus Max флапает 400, fallback не ловит); фикс задвоения Telegram 2026-06-18 22:22:34 +03:00
code-server
ed66833563 code-server auto-sync 2026-06-18T19:15:02+00:00 2026-06-18 19:15:02 +00:00
dttb
125564d055 German: модель → kr/claude-sonnet-4.5 (Max-квота cc/opus исчерпана); live раунд-трип подтверждён 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-18 22:14:26 +03:00
code-server
a44c582751 code-server auto-sync 2026-06-18T19:10:01+00:00 2026-06-18 19:10:01 +00:00
dttb
55bf07a266 German: Hermes Agent личный ассистент Олега на LXC 141 (Telegram + KB-доступ) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-18 22:09:09 +03:00
code-server
876adcd7c2 code-server auto-sync 2026-06-18T10:50:02+00:00 2026-06-18 10:50:02 +00:00
Александр Батлаев
ff481ccf62 podkop: агент-runbook для автономного обхода блокировок (миссия+доступ+триаж+инвентарь) 
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
 2026-06-18 13:48:01 +03:00
code-server
aa281683d5 code-server auto-sync 2026-06-17T19:10:01+00:00 2026-06-17 19:10:01 +00:00
dttb
c65d2409fe Александр: pve.umnybot.ru публично за Basic Auth (Proxmox UI), доки обновлены 2026-06-17 22:08:10 +03:00
code-server
93f585039c code-server auto-sync 2026-06-17T18:35:02+00:00 2026-06-17 18:35:02 +00:00
dttb
cc72a71c7d Александр: финал публичного доступа (только umnybot.ru→SwarmClaw) + полная architecture.md с диаграммой 2026-06-17 21:31:52 +03:00
code-server
9b78dcf5a1 code-server auto-sync 2026-06-17T18:30:02+00:00 2026-06-17 18:30:02 +00:00
dttb
0bb13ae6b6 Александр: чистка VPS NPM — убраны 8 ZimaOS-доменов + публичные cloud/alex; осталось umnybot.ru(swarm)+omni 2026-06-17 21:26:49 +03:00
code-server
0284916a65 code-server auto-sync 2026-06-17T18:15:02+00:00 2026-06-17 18:15:02 +00:00
dttb
010f44f34f Александр: umnybot.ru (корень) -> SwarmClaw публично через VPS+NetBird 2026-06-17 21:10:58 +03:00
code-server
92b8e360cc code-server auto-sync 2026-06-17T18:10:02+00:00 2026-06-17 18:10:02 +00:00
dttb
8eb1915617 Александр: публичный доступ через VPS-шлюз+NetBird (WAN динамический); cloud/alex наружу, NetBird на NPM коробки 2026-06-17 21:05:48 +03:00
code-server
927921679a code-server auto-sync 2026-06-17T16:15:02+00:00 2026-06-17 16:15:02 +00:00
dttb
25ca390669 Антошка-сторож: переписан под переезд коробки (LXC137→NetBird→LXC102) 2026-06-17 19:12:07 +03:00
code-server
32660e227e code-server auto-sync 2026-06-17T16:00:02+00:00 2026-06-17 16:00:02 +00:00
dttb
f361f7bd6e коробка Александра 2026-06-17: автономизация (NPM бэкенды, удалён maxcc, gitea scrub) + ZimaOS заблокирован VT-x/CMOS 2026-06-17 18:56:51 +03:00
code-server
c9273c1b4c code-server auto-sync 2026-06-17T14:45:02+00:00 2026-06-17 14:45:02 +00:00
dttb
1444b3ad00 niikn: диагноз лагов WiFi — деградация powerline-бэкбона Deco P9 (root .124 ОК, сателлиты 5-15% потерь) 2026-06-17 17:44:53 +03:00
code-server
5ab587adab code-server auto-sync 2026-06-17T13:25:02+00:00 2026-06-17 13:25:02 +00:00
dttb
decb126195 коробка Александра: переезд pve-147 на сеть 192.168.1.0/24 (хост .247 static+резерв, контейнеры DHCP) 2026-06-17 16:22:53 +03:00
code-server
427fa0a2aa code-server auto-sync 2026-06-17T12:50:01+00:00 2026-06-17 12:50:01 +00:00
dttb
b3f0c50adb podkop: Benelux обход проверен (TG/WA ОК); грабли download_lists_via_proxy=1 ломает sing-box + фикс list_update через github в обход 2026-06-17 15:48:57 +03:00
code-server
179ae00297 code-server auto-sync 2026-06-16T20:35:01+00:00 2026-06-16 20:35:01 +00:00
dttb
dccf3c7ace openwrt-4/Оливье: статус конца сессии 2026-06-03 — роутер недоступен, гео-вердикт (5/6 FR), ExpressVPN kill-switch + policy-route приставки, открытые пункты 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-16 17:43:41 +03:00
code-server
309d75e5c7 code-server auto-sync 2026-06-15T13:20:01+00:00 2026-06-15 13:20:01 +00:00
dttb
35d58a687a unifi: adoption свитча+U7-LR; фикс system_ip override + DNS unifi, host-mode откатан 
- U7-LR не виделся = битый порт 5 свитча (PoE есть, линк down) -> порт 8
- stuck 'Принятие' = Docker bridge отдавал внутренний IP -> system_ip=10.0.0.196
- DNS unifi->10.0.0.196 на OpenWrt для автообнаружения
- host networking сломал mongo-URI кэш + автодетект IP, откатан на bridge
- USG физически не в сети (0 следов в БД)

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-15 16:18:31 +03:00
code-server
28b136cc8b code-server auto-sync 2026-06-15T10:30:01+00:00 2026-06-15 10:30:01 +00:00
dttb
51dcea50b2 unifi: контроллер UniFi на LXC 140 (10.0.0.196) + домен unifi.dttb.ru 
- Docker-стек mongo:4.4 + linuxserver/unifi-network-application
- MongoDB 4.4 принудительно: хост Xeon X5672 без AVX, 5.0+ падает Illegal instruction
- образ с docker.io (ghcr.io виснет из РФ), rootfs на work (local-lvm 90%)
- NPM #36 + Let's Encrypt (DNS через Spaceweb, один editMain add)

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-15 13:29:13 +03:00
code-server
a84a9a5b50 code-server auto-sync 2026-06-14T06:05:01+00:00 2026-06-14 06:05:01 +00:00
code-server
0751392caf code-server auto-sync 2026-06-12T18:05:01+00:00 2026-06-12 18:05:01 +00:00
dttb
79e1c2aef5 swarmclaw: drag&drop откачен (не доехал), Дирижёру вернул manage_platform (создание агентов снова работает) 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-12 21:00:35 +03:00
code-server
8bf6fb730c code-server auto-sync 2026-06-11T23:40:02+00:00 2026-06-11 23:40:02 +00:00
dttb
c5522790c5 swarmclaw: ACCESS_KEY сменён на стандартный пароль Олега (вход swarm.dttb.ru) 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-12 02:35:21 +03:00
code-server
ca11cfda98 code-server auto-sync 2026-06-11T22:40:02+00:00 2026-06-11 22:40:02 +00:00
dttb
bc7b7223a9 swarmclaw: drag&drop картинок в чат (патч chat-input.tsx + dragdrop.patch для re-apply), vision-канал проверен 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-12 01:38:32 +03:00
code-server
1faa21eede code-server auto-sync 2026-06-11T21:50:01+00:00 2026-06-11 21:50:01 +00:00
dttb
1afaab27e6 swarmclaw: настоящий корень тесноты контекста = жирные схемы 24 tools (33K/запрос); урезка до 9 = 3K (x11) 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-12 00:47:19 +03:00
code-server
55d6d4f61e code-server auto-sync 2026-06-11T21:40:02+00:00 2026-06-11 21:40:02 +00:00
dttb
dcf0ba6308 swarmclaw: фикс окна контекста агента (8192 fallback -> 200K патч), claude-cli не нужен 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-12 00:36:06 +03:00
code-server
a0be4f33e5 code-server auto-sync 2026-06-11T21:00:01+00:00 2026-06-11 21:00:01 +00:00
dttb
72d92daabe umnybot: Basic Auth пароль для tg/rustdesk сменён на выбранный Олегом 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-11 23:56:07 +03:00
code-server
12f6ceb60e code-server auto-sync 2026-06-11T20:45:02+00:00 2026-06-11 20:45:02 +00:00
dttb
bf83c01324 umnybot: tg+rustdesk поддомены через основной NPM — DNS, Basic Auth ACL, LE-серты 
Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
 2026-06-11 23:41:07 +03:00
code-server
a1e8fd4312 code-server auto-sync 2026-06-11T15:25:02+00:00 2026-06-11 15:25:02 +00:00
dttb
0230894e49 niikn: Опыт финально в RAR5 — независимые N-NNN.rar + тома partN.rar для гигантов; уроки про zip UTF-8 флаг 2026-06-11 18:23:04 +03:00
code-server
6e87be6e00 code-server auto-sync 2026-06-11T14:25:02+00:00 2026-06-11 14:25:02 +00:00
dttb
60713ff7a6 niikn: Опыт перепакован v2 — независимые zip ≤95МБ, тома только для 278 файлов-гигантов 2026-06-11 17:20:45 +03:00
code-server
437ba231ad code-server auto-sync 2026-06-11T08:50:02+00:00 2026-06-11 08:50:02 +00:00
dttb
e8b73d375a niikn: папка Опыт (Закупка Соловки) нарезана в тома до 100 МБ, ссылка kqH46Jrjnb4ri3q 2026-06-11 11:46:02 +03:00
code-server
564d73418a code-server auto-sync 2026-06-10T09:40:01+00:00 2026-06-10 09:40:01 +00:00
dttb
b93af4b175 swarmclaw: openclaw-управление агентом — tools openclaw_nodes/workspace включены, грабля gatewayProfileId (ломает chat) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-10 12:36:41 +03:00
code-server
b593bbc52d code-server auto-sync 2026-06-10T08:55:02+00:00 2026-06-10 08:55:02 +00:00
dttb
922c7dc27e netbird: сохранён полный reusable setup-key для swarmclaw (для переподключения/новых хостов) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-10 11:50:58 +03:00
code-server
40078e533c code-server auto-sync 2026-06-10T00:05:01+00:00 2026-06-10 00:05:01 +00:00
root
0b2c049ab9 auto-backup claude-memory 2026-06-10_00:00 2026-06-10 00:00:43 +00:00
code-server
a06ed4ce54 code-server auto-sync 2026-06-09T22:45:02+00:00 2026-06-09 22:45:02 +00:00
dttb
b8e1ca914f swarmclaw: NetBird для агентов по IP (magic-DNS .netbird.cloud не резолвится из-за wildcard dttb.ru); инструкция в systemPrompt 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-10 01:43:18 +03:00
code-server
55c9302b44 code-server auto-sync 2026-06-09T22:40:01+00:00 2026-06-09 22:40:01 +00:00
dttb
b26c41668b omniroute.md: восстановлена правка 3.8.16 + ExecStart dist/server.js (откатил auto-backup claude-memory) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-10 01:36:06 +03:00
code-server
34563e6ab4 code-server auto-sync 2026-06-09T22:30:02+00:00 2026-06-09 22:30:02 +00:00
dttb
a842f2e1aa swarmclaw: подключён к NetBird (100.70.95.183), агенты дотягиваются до 100.70.x; setup-key в credentials, inventory 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-10 01:29:53 +03:00
code-server
8fec84557d code-server auto-sync 2026-06-09T12:05:02+00:00 2026-06-09 12:05:02 +00:00
root
ceb16dab77 auto-backup claude-memory 2026-06-09_12:00 2026-06-09 12:00:50 +00:00
code-server
1c0c12b280 code-server auto-sync 2026-06-09T10:20:01+00:00 2026-06-09 10:20:01 +00:00
dttb
5371b6aa36 swarmclaw: фикс чатов на iPad/Safari (NPM proxy_buffering off для SSE-стрима) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-09 13:15:16 +03:00
code-server
4d7e9c3879 code-server auto-sync 2026-06-09T07:50:02+00:00 2026-06-09 07:50:02 +00:00
dttb
3d1c5b8ad2 omniroute: обновлён 3.8.7->3.8.16 (ложная out-of-usage была багом версии), ExecStart путь app->dist; агенты swarmclaw на Opus 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-09 10:47:34 +03:00
code-server
8555e4b38b code-server auto-sync 2026-06-08T20:50:02+00:00 2026-06-08 20:50:02 +00:00
dttb
2f8c19cfcc swarmclaw: vault залит в Knowledge-раздел (189 entries, авто-цитаты) + daily ре-синк 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 23:47:47 +03:00
code-server
2d25a6d438 code-server auto-sync 2026-06-08T20:45:02+00:00 2026-06-08 20:45:02 +00:00
dttb
edc6c14a22 swarmclaw: подключена база знаний (vault в workspace агентов + kb-pull cron), агенты ищут по базе 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 23:41:12 +03:00
code-server
2ae8a96a5d code-server auto-sync 2026-06-08T20:30:01+00:00 2026-06-08 20:30:01 +00:00
dttb
dba3beb648 swarmclaw: оба агента на OmniRoute/Opus (фикс default через БД), грабли claude-cli фоллбек/Session not found/gateway health 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 23:27:55 +03:00
code-server
279e366318 code-server auto-sync 2026-06-08T20:15:02+00:00 2026-06-08 20:15:02 +00:00
dttb
bd63ccd920 swarmclaw: агент заработал (dummy-credential для OmniRoute), грабли apiKey/Chrome-кэш, Assistant удалён 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 23:10:51 +03:00
code-server
41e0125570 code-server auto-sync 2026-06-08T19:35:02+00:00 2026-06-08 19:35:02 +00:00
dttb
6fa63a944d swarmclaw: HTTPS готов — LE cert для swarm.dttb.ru (id 118), ssl_forced 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 22:32:54 +03:00
dttb
b55b33b73b swarmclaw: деплой LXC 135 (оркестратор над openclaw) + домен swarm.dttb.ru 
- LXC 135 Debian/Docker, SwarmClaw 24/7, провайдер OmniRoute, агент Opus 4.8
- gateway-связка с openclaw 137 (device paired, connect ok)
- NPM host swarm.dttb.ru -> 10.0.0.135:3456 (WSS), DNS A-запись в SpaceWeb
- обновлены proxmox-inventory, network-topology, npm-proxy-hosts

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 22:32:04 +03:00
code-server
199dfedf02 code-server auto-sync 2026-06-08T11:05:01+00:00 2026-06-08 11:05:01 +00:00
dttb
ed40441cbd dttb/openwrt-router: podkop 0.7.14→0.7.19 на 10.0.0.1 (Cudy TR3000); грабля status='not running' при живом sing-box, лечение зависшего sing-box killall+restart, проверка фейкапа через 127.0.0.42 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-08 14:00:17 +03:00
code-server
b94c71c44b code-server auto-sync 2026-06-07T06:10:01+00:00 2026-06-07 06:10:01 +00:00
code-server
0402fe0212 code-server auto-sync 2026-06-07T06:05:01+00:00 2026-06-07 06:05:01 +00:00
code-server
12be5964d8 code-server auto-sync 2026-06-05T12:20:01+00:00 2026-06-05 12:20:01 +00:00
Антошка (LXC 137)
baba17f2d2 lipki: add TP-Link Deco P9 mesh section (6 nodes via OUI 6c:5a:b0) 2026-06-05 12:15:05 +00:00
code-server
f8a0d80a17 code-server auto-sync 2026-06-04T00:05:02+00:00 2026-06-04 00:05:02 +00:00
root
0d1000918d auto-backup claude-memory 2026-06-04_00:00 2026-06-04 00:00:43 +00:00
code-server
d1602ef1c6 code-server auto-sync 2026-06-03T20:55:02+00:00 2026-06-03 20:55:02 +00:00
dttb
3b7f080a27 охотхозяйство: пароли камер (DS-I400/App5870w, EZVIZ-коды), юзер NVR partner, актуализация Orange Pi .147 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-03 23:54:06 +03:00
code-server
c0da0510a5 code-server auto-sync 2026-06-03T12:50:02+00:00 2026-06-03 12:50:02 +00:00
dttb
bff135926c openwrt-4/Оливье: шаблон письма клиенту (FR+RU) — что настроили, вариация с роутером провайдера, что можно улучшить 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-03 15:49:31 +03:00
code-server
3578efb96b code-server auto-sync 2026-06-03T12:00:02+00:00 2026-06-03 12:00:02 +00:00
dttb
23301445e7 openwrt-4/Оливье: выезд 2026-06-03 — extroot-fix, LAN→192.168.10.1, LuCI по NetBird, awg0→FR (AWG1.5 ок), Canal+ user_domains, IPv6 off; NetBird IP→100.70.194.241 + бэкап конфига 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-03 14:57:43 +03:00
code-server
5dd8b50af0 auto-sync from MEMORY.md (2026-06-02 13:26) 2026-06-02 13:26:39 +00:00
code-server
39ce04c457 code-server auto-sync 2026-06-02T12:20:01+00:00 2026-06-02 12:20:01 +00:00
dttb
f4fab70c64 openwrt-4/Оливье: FR-нода HOSTKEY Paris + AmneziaWG :44221, креды, готовый awg0-конфиг Cudy, рунбук Canal+, хендофф для code-server 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-02 15:19:17 +03:00
code-server
9e5d829240 code-server auto-sync 2026-06-01T19:00:01+00:00 2026-06-01 19:00:01 +00:00
dttb
b3a91986f8 Алекс: 2-й Codex-аккаунт в OmniRoute (пул cx/gpt-5.5, проверено) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 21:56:08 +03:00
code-server
d8051fecd2 code-server auto-sync 2026-06-01T18:40:01+00:00 2026-06-01 18:40:01 +00:00
dttb
eff0fa2596 Антошка: самолечение — двухслойный watchdog + алерт 
- antoshka-watch-self.sh (cron */5 в LXC 137): gateway/порт/DNS/getMe/crash-loop -> рестарт + алерт
- antoshka-host-watchdog.sh (cron */5 на pve): контейнер лёг -> pct start + алерт
- поверх systemd Restart=always + lingering; боевой тест ОК

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 21:39:05 +03:00
code-server
d066726fe8 Remote Control с iPhone/iPad: изолированный Max-конфиг + systemd-сервис на LXC 132 
- Убрано авто-открытие вкладки Claude Code в code-server (auto-run-command)
- decisions/2026-06-01-claude-remote-control-mobile.md
 2026-06-01 12:38:15 +00:00
code-server
80624c9982 code-server auto-sync 2026-06-01T10:40:01+00:00 2026-06-01 10:40:01 +00:00
dttb
7bd229e387 Бенелюкс: концепция сегментации Wi-Fi (хозяева/персонал/гости) 
UniFi VLAN + firewall на Cudy; персонал=только интернет, внедрение отложено

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 13:37:29 +03:00
code-server
1b56bb9be8 code-server auto-sync 2026-06-01T09:31:34+00:00 2026-06-01 09:31:34 +00:00
dttb
a66174bbad ZimaOS веб-пароль -> App5870w (выбор Олега) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 12:26:31 +03:00
code-server
c03049b933 code-server auto-sync 2026-06-01T09:00:02+00:00 2026-06-01 09:00:02 +00:00
dttb
d1886cf75f ZimaOS веб-пароль сменён на сильный (закрыт публичный риск) 
- CasaOS хранит пароль как чистый MD5 в /var/lib/casaos/db/user.db o_users
- смена через sudo sqlite3 UPDATE (API/CLI смены нет); старый отвергнут, новый ок
- alex-nas цел (SSH Linux отдельный, не менялся)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 11:58:42 +03:00
code-server
03d861aafc code-server auto-sync 2026-06-01T08:10:01+00:00 2026-06-01 08:10:01 +00:00
dttb
b4f98b15d5 zima.umnybot.ru -> ZimaOS веб (основной NPM + LE cert id116) 
- A-запись Spaceweb, proxyhost id31 -> 10.0.0.190:80, force-SSL, websocket
- NPM v2.14 cert-create: только meta:{} (грабли)
- ФЛАГ безопасности: ZimaOS-админка в открытом инете с слабым паролем

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 11:08:16 +03:00
code-server
437c940546 code-server auto-sync 2026-06-01T07:35:02+00:00 2026-06-01 07:35:02 +00:00
dttb
845e8193a7 ZimaOS NAS интегрирован с Алексом 
- alex-nas.sh: место / поиск файлов (кириллица через python) / папки / usage
- доступ sshpass admin@10.0.0.190, в allowlist (read-only)
- проверено в TG: «место на NAS, найди договор» → Алекс отвечает

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-06-01 10:31:16 +03:00
code-server
df1edeae6d code-server auto-sync 2026-05-31T20:05:02+00:00 2026-05-31 20:05:02 +00:00
dttb
8959ca2cbf CF Tunnel: тест из РФ — http2 подключается, но quick-tunnel флапает (530); риск, нужен named-test или VPS-туннель 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 23:03:56 +03:00
code-server
ea861f00a4 code-server auto-sync 2026-05-31T19:50:02+00:00 2026-05-31 19:50:02 +00:00
dttb
d136b7358b NPM коробки автономен: omni.umnybot.ru на LXC 101 
- proxy host omni->OmniRoute (websocket+force-SSL), cert перенесён с основного NPM
- проверено локально: серт LE valid, проксирует (307); коробка раздаёт домен сама
- handover: DNS+роутер клиента 443/80 -> NPM коробки, пере-выпуск LE; иначе CF Tunnel

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 22:47:37 +03:00
code-server
60b8f43251 code-server auto-sync 2026-05-31T19:35:02+00:00 2026-05-31 19:35:02 +00:00
dttb
83a73e0d3a Антошка стережёт Алекса: мониторинг + лечение + алерт пилота 
- antoshka-watch-alex.sh на LXC 137, cron */3
- проверяет контейнер/gateway/omniroute/диск, лечит restart/pct start
- алерт Олегу от имени Антошки, дедуп; боевой тест пройден

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 22:30:02 +03:00
code-server
2d1821f585 code-server auto-sync 2026-05-31T19:20:01+00:00 2026-05-31 19:20:01 +00:00
dttb
8b7010ea0a Алекс: хард-гейт approval ВКЛЮЧЁН и подтверждён в Telegram 
- exec-policy allowlist + ask on-miss: read-инструменты свободно, write -> кнопка [Allow Once][Deny]
- живой тест в TG прошёл (кнопка на alex-fix.sh restart-podkop)
- SOUL облегчён (объясняет + кнопка, без дубля "да?"); гибкость сохранена (ask on-miss)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 22:19:24 +03:00
code-server
1903f5591e code-server auto-sync 2026-05-31T18:55:02+00:00 2026-05-31 18:55:02 +00:00
dttb
f757b4afd1 Алекс: исследован хард-гейт approval (allowlist), откат на yolo до живого TG-теста 
- allowlist read-tools + exec-policy allowlist/on-miss: чтение свободно, write блокируется
- 2 вопроса (Telegram-кнопка approval не проверена; allowlist лишает гибкости) -> yolo
- механизм и allowlist-записи задокументированы для финализации в Этап 9

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 21:52:55 +03:00
code-server
b71a2216f9 code-server auto-sync 2026-05-31T18:40:01+00:00 2026-05-31 18:40:01 +00:00
dttb
dd0a498fbe Алекс Этап 4: write-действия + подтверждение + авто-лечение сети 
- alex-fix.sh (restart-podkop / reboot-ap) с авто-аудитом Олегу в TG
- гейт подтверждения = двухшаговое правило в SOUL.md (проверено: спрашивает)
- авто-лечение в watchdog: WAN-SSH дыра -> сам закрывает + алерт (боевой тест ОК)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 21:39:36 +03:00
code-server
4f348d1784 code-server auto-sync 2026-05-31T18:25:02+00:00 2026-05-31 18:25:02 +00:00
dttb
2f939c9400 Алекс-защитник: сторож сети против WAN-SSH/спам-атак 
- alex-security.sh (аудит Cudy под вектор инцидента 2026-05-20)
- alex-secwatch.sh + cron */15 -> алерт Олегу в TG при угрозе
- on-demand "нас не ломают?" проверено; всё чисто, ~150 брутов отбито

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 21:20:25 +03:00
code-server
744fe7dfc1 code-server auto-sync 2026-05-31T18:10:02+00:00 2026-05-31 18:10:02 +00:00
dttb
a7fac84f6e Алекс (пилот): доступ к UniFi (Cloud Key→mongo) + печать на HP M775 (CUPS+IPP DNAT) 
- alex-router.sh / alex-unifi.sh / alex-print.sh на коробке
- UniFi через Cudy→dbclient→mongo ace (API залочен SSO)
- печать CUPS Everywhere через DNAT Cudy 6310→148:631, персистентно nftables.d
- проверено в TG: Алекс сам зовёт инструменты

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 21:09:08 +03:00
code-server
234ba782d9 code-server auto-sync 2026-05-31T16:20:01+00:00 2026-05-31 16:20:01 +00:00
dttb
a54ef6e14b AI-ассистент umnybot: NetBird Benelux setup-key + коробка в mesh (100.70.186.192), достаёт Cudy Александра 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 19:17:10 +03:00
code-server
0892943e3e code-server auto-sync 2026-05-31T10:30:02+00:00 2026-05-31 10:30:02 +00:00
dttb
8de53f6432 AI-ассистент umnybot: 8 codex-ящиков для мульти-аккаунта OpenAI 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 13:26:15 +03:00
code-server
666f3667db code-server auto-sync 2026-05-31T09:35:01+00:00 2026-05-31 09:35:02 +00:00
dttb
9f7eba70d9 AI-ассистент umnybot: креды и инфра пилота (коробка/OmniRoute/TG/домен/почта) 
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-31 12:34:47 +03:00
code-server
483d1be3c4 code-server auto-sync 2026-05-31T06:05:01+00:00 2026-05-31 06:05:01 +00:00
kb-audit-bot
9f48dc7ac0 kb-audit-bot: auto-apply drift 2026-05-31 
+ VMID 131 (VM ubuntu, stopped)

Skipped (too complex for auto-apply):
  VMID 139 (LXC severny-les, running) — требует ручной правки (running → новая секция)
 2026-05-31 06:00:21 +00:00
code-server
24a010ef42 code-server auto-sync 2026-05-29T18:05:02+00:00 2026-05-29 18:05:02 +00:00
root
7df3e7865b auto-backup claude-memory 2026-05-29_18:00 2026-05-29 18:00:41 +00:00
code-server
7ee313e289 code-server auto-sync 2026-05-29T10:35:01+00:00 2026-05-29 10:35:01 +00:00
dttb
d97e7a4a03 podkop: канонический справочник (модель/списки/грабли/инвентарь) 
Свёл разрозненные знания о podkop в один single-source-of-truth: snippets/podkop-reference.md.
Главное — семантика inside/outside (причина НИИКН-косяка), каталог листов + decision guide,
правильный конфиг, каталог граблей (busybox ip -br, слетающие overrides, fwmark vs NetBird,
cache.db lock, disable_quic, MTU), инвентарь podkop по объектам. Линки из runbook + CLAUDE.md.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-29 13:31:58 +03:00
code-server
0ef00a36e9 code-server auto-sync 2026-05-29T10:25:01+00:00 2026-05-29 10:25:01 +00:00
dttb
5949452bcf niikn: КОРНЕВОЙ фикс — убрал russia_outside из podkop (ломал РФ-сайты) 
russia_outside = РФ-сайты для доступа из-за границы; для офиса в РФ он фейкапил
gosuslugi/ozon/ЕИС/nspd и гнал в финский выход → гео-блок. Убран — РФ-сайты резолвятся
реально (проверено sing-box 127.0.0.42), overrides больше не нужны, цикл слётов разорван.
Инсайт Олега про inside/outside. Watchdog niikn-podkop-watchdog на pve-niikn сторожит откат.
Заодно: исправлены перепутанные chat_id (Олег=1292155421, Максим=437242345).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-29 13:24:04 +03:00
code-server
ea74cdec8c code-server auto-sync 2026-05-29T09:55:01+00:00 2026-05-29 09:55:01 +00:00
dttb
4552ef0109 niikn: восстановил слетевшие gov-overrides (ЕИС/zakupki, gosuslugi, sev, rosreestr, culture, economy) 
ЕИС (zakupki.gov.ru) был FakeIP→Финляндия из-за слетевшего override; восстановил все 6 — проверено 200 с maul-pc и pve-niikn.
lk.zakupki.gov.ru = ГОСТ-TLS (alert 40 с обоих путей) — Yandex Browser+КриптоПро, маршрут не лечит.
podkop проверен: туннель Финляндия жив, заблокированные (youtube/instagram/whatsapp) работают.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-29 12:52:57 +03:00
code-server
49eed9542d code-server auto-sync 2026-05-29T09:35:02+00:00 2026-05-29 09:35:02 +00:00
dttb
4a836e1060 niikn: фикс diadoc (NetBird route 46.17.203.0/24 → LionART) + ozon (DNS override → прямой MTS) 
diadoc.ru: MTS WAN чёрная дыра к Контуру (TCP timeout) → маршрут через pve-LionART как nspd/zakupki. Проверено 200 с офисного ПК.
ozon.ru: russia_outside FakeIP'ил → Финляндия → гео-блок; override /ozon.ru/ → реальный IP → прямой MTS.
Находки: awg0 жив (ложная тревога из-за busybox ip -br); gosuslugi.ru снова FakeIP'ится.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
 2026-05-29 12:33:03 +03:00
dttb
bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
 2026-05-29 12:33:03 +03:00
code-server
e994661bd7 code-server auto-sync 2026-05-28T10:30:03+00:00 2026-05-28 10:30:03 +00:00
dttb
cfe44d886c niikn/maul-pc: настроен RustDesk, ID 439312650, permanent password 
10.0.0.244 (недоступно из НИИКН) → remot.dttb.ru:21116. Добавлены api-server, approve-mode=password.
Permanent password через Scheduled Task с InteractiveToken в сессии Максима (подтверждение метода из [[feedback_rustdesk_password_via_ssh]]).
Creds сохранены на хосте C:\\Users\\Public\\rustdesk-credentials.txt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
 2026-05-28 13:27:59 +03:00
code-server
5f87025ed7 code-server auto-sync 2026-05-28T10:15:02+00:00 2026-05-28 10:15:02 +00:00
dttb
d6c82aa5d8 niikn: добавил maul-pc.md — рабочий ПК Максима Мауля (DESKTOP-IC5A0K2) 
Онбординг 2026-05-28 через netbird-claude-install.ps1: NetBird уже был в группе NIIKN,
доустановили claude/Kl@udeD1ag!2026 + OpenSSH + WinRM + Mac-ключ. SSH по ключу работает.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
 2026-05-28 13:13:04 +03:00
code-server
393e6a05bf code-server auto-sync 2026-05-28T10:10:03+00:00 2026-05-28 10:10:03 +00:00
dttb
d85906f18c netbird-claude-install: пропуск перерегистрации + Mac-ключ в admin_authorized_keys 
- Skip 'netbird up --setup-key' если хост уже Connected к tenant (иначе создаётся дубль peer)
- Залить публичный ed25519-ключ Mac в C:\\ProgramData\\ssh\\administrators_authorized_keys + правильные ACL (SYSTEM+Administrators)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
 2026-05-28 13:07:25 +03:00
code-server
5548d7d987 code-server auto-sync 2026-05-27T00:05:02+00:00 2026-05-27 00:05:02 +00:00
root
ea741fbfee auto-backup claude-memory 2026-05-27_00:00 2026-05-27 00:00:44 +00:00
code-server
768a23fc8c auto-sync from MEMORY.md (2026-05-26 18:44) 2026-05-26 18:44:32 +00:00
code-server
35202bc348 auto-sync from MEMORY.md (2026-05-26 18:44) 2026-05-26 18:44:07 +00:00
code-server
e51c6310f0 code-server auto-sync 2026-05-26T16:20:02+00:00 2026-05-26 16:20:02 +00:00
code-server
3f634037d9 auto-sync from MEMORY.md (2026-05-26 14:35) 2026-05-26 14:35:55 +00:00
code-server
82e95310c2 code-server auto-sync 2026-05-26T14:35:01+00:00 2026-05-26 14:35:01 +00:00
Claude Auto-Sync
f727f6f977 auto-sync from MEMORY.md (2026-05-26 14:21) 2026-05-26 14:31:16 +00:00
Claude Auto-Sync
6d729dc8c7 auto-sync from MEMORY.md (2026-05-26 13:13) 2026-05-26 14:31:16 +00:00
code-server
bf5e24491b code-server auto-sync 2026-05-24T06:05:04+00:00 2026-05-24 06:05:04 +00:00
code-server
57a026ed45 code-server auto-sync 2026-05-17T06:05:01+00:00 2026-05-17 06:05:01 +00:00
kb-audit-bot
ae5eb91280 kb-audit-bot: auto-apply drift 2026-05-17 
+ VMID 128 (LXC profi-parser, stopped)

Skipped (too complex for auto-apply):
  VMID 131 (VM ubuntu, running) — требует ручной правки (running → новая секция)
  VMID 139 (LXC severny-les, running) — требует ручной правки (running → новая секция)
 2026-05-17 06:01:27 +00:00
code-server
368a14107d code-server auto-sync 2026-05-10T06:05:02+00:00 2026-05-10 06:05:02 +00:00
960 changed files with 61871 additions and 125 deletions
Expand all files Collapse all files

8
CLAUDE.md
View File

@@ -47,6 +47,14 @@
- Домены NPM: смотри `projects/dttb/npm-proxy-hosts.md`
- Карта сети: смотри `projects/dttb/network-topology.md`
## Podkop (обход РКН на OpenWrt — почти все объекты)
**Канонический справочник:** `snippets/podkop-reference.md` (модель, списки, конфиг, грабли, инвентарь). Диагностика «не работает»: `snippets/podkop-fakeip-diagnostics.md`.
Кардинальные правила (за них уже наступали на грабли):
- Объект **в РФ** (выход туннеля зарубежный) → списки `russia_inside` / точечные `meta`/`youtube`/`telegram`. **НИКОГДА `russia_outside`** (это РФ-сайты для тех, кто ЗА границей — сломает gosuslugi/ozon/ЕИС).
- РФ-сайт «Доступ ограничен» + FakeIP → убирать лишний **список**, а не лепить per-domain override (overrides слетают при реконфиге podkop).
- Фейкапится ли домен: `ssh root@<router> 'nslookup ДОМЕН 127.0.0.42'` (198.18.x = ушёл в туннель).
- busybox `ip -br` не работает; `disable_quic=1` обязателен; awg0 в firewall WAN-зоне.
## Как работать
- Перед правкой — читай текущее состояние файла
- Не предлагай решения, которые уже описаны в `decisions/`

47
audit/2026-05-10-creds-drift.md Normal file
View File

@@ -0,0 +1,47 @@
---
date: 2026-05-10
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-05-10
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

81
audit/2026-05-10-dns-drift.md Normal file
View File

@@ -0,0 +1,81 @@
---
date: 2026-05-10
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-05-10
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **22**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

73
audit/2026-05-10-drift.md Normal file
View File

@@ -0,0 +1,73 @@
---
date: 2026-05-10
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-05-10
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **40**
- Упомянуто в inventory: **38**
- В обоих: 37 / только в live: 3 / отсутствуют в live: 0
- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 128 | LXC | running | profi-parser |
| 131 | VM | running | ubuntu |
| 139 | LXC | running | severny-les |
## ✓ Удалённые хосты (задокументированы): 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | running | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | running | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | stopped | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | running | profi-parser |
| 129 | VM | running | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | running | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | running | s1c-buzharovo |
| 134 | LXC | running | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

202
audit/2026-05-10-health.md Normal file
View File

@@ -0,0 +1,202 @@
---
date: 2026-05-10
type: audit
source: kb-health.py
score: 785
tags: [audit, health, metric]
---
# KB health — 2026-05-10
**Score (меньше = лучше): `785`**
Проверено файлов: 848
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 4 | 10 | 40 |
| broken_paths | 48 | 10 | 480 |
| missing_frontmatter | 21 | 3 | 63 |
| orphan_files | 51 | 2 | 102 |
| undated_todos | 70 | 1 | 70 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **785** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
| `notes/claude/2026-04-24-230658-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/openwrt-bypass.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-124829-в-ниикн-нспд.md` | `projects/niikn/govru-quickfix-playbook.md` |
| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-04-093928-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/niikn/network-topology-diagram.md` |
| `notes/claude/2026-04-24-202451-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `claude-memory/znamenskoye-ohothozyistvo.md` |
## Без frontmatter (21)
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (51)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/clawdbot-niikn.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- `projects/niikn/npm.md`
- `projects/niikn/openwrt-bypass.md`
- `projects/niikn/network-topology-diagram.md`
- `projects/niikn/NC-Talk-Setup.md`
- `projects/niikn/domofon.md`
- `projects/niikn/vpn.md`
- `projects/mmfb/mikrotik.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-routing-roscomvpn.md`
- `snippets/invoice-template.md`
- `snippets/clients/oksana-niikn-rustdesk.md`
- ... +21 ещё
## TODO без даты (70 шт в 10 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/openwrt-4/README.md` — 6 шт
- `projects/benilux/README.md` — 6 шт
- `projects/sergey/README.md` — 6 шт
- `projects/dttb/vpn-clients.md` — 5 шт
- `projects/vishnevyy-sad/README.md` — 5 шт
- `claude-memory/mas-niikn.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `credentials.md`:
- `projects/dttb/credentials.md`
- `projects/niikn/credentials.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

62
audit/2026-05-10-npm-drift.md Normal file
View File

@@ -0,0 +1,62 @@
---
date: 2026-05-10
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-05-10
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **22**
- В KB: **20**
- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

37
audit/2026-05-10-objects-audit.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-05-10
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 6
---
# KB objects audit — 2026-05-10
**Score (меньше = лучше): `6`**
- Проектов с frontmatter: **13/13** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **0**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
✅ битых ссылок не найдено

13
audit/2026-05-10-proposed.md Normal file
View File

@@ -0,0 +1,13 @@
---
date: 2026-05-10
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-05-10
Сгенерировано Claude Opus на основе [[2026-05-10-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.

47
audit/2026-05-17-creds-drift.md Normal file
View File

@@ -0,0 +1,47 @@
---
date: 2026-05-17
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-05-17
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

75
audit/2026-05-17-dns-drift.md Normal file
View File

@@ -0,0 +1,75 @@
---
date: 2026-05-17
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-05-17
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **22**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 22 / split-horizon: 0
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | (тоже нет) |
## ⚠ Пустой локальный резолв (роутер не знает)
- `ai.dttb.ru` (публичный: 176.62.183.186)
- `bit.dttb.ru` (публичный: 176.62.183.186)
- `bitrix24.dttb.ru` (публичный: 176.62.183.186)
- `bot.dttb.ru` (публичный: 176.62.183.186)
- `dttb.ru` (публичный: 176.62.183.186)
- `git.dttb.ru` (публичный: 176.62.183.186)
- `home.dttb.ru` (публичный: 176.62.183.186)
- `ip.dttb.ru` (публичный: 176.62.183.186)
- `itilegent.ru` (публичный: -)
- `link.dttb.ru` (публичный: 176.62.183.186)
- `mail.dttb.ru` (публичный: 176.62.183.186)
- `matrix.dttb.ru` (публичный: 176.62.183.186)
- `npm.dttb.ru` (публичный: 176.62.183.186)
- `office.dttb.ru` (публичный: 176.62.183.186)
- `plex.dttb.ru` (публичный: 176.62.183.186)
- `porteiner.dttb.ru` (публичный: 176.62.183.186)
- `pve.dttb.ru` (публичный: 176.62.183.186)
- `rec.dttb.ru` (публичный: 176.62.183.186)
- `remot.dttb.ru` (публичный: 176.62.183.186)
- `router.dttb.ru` (публичный: 176.62.183.186)
- `vpn.dttb.ru` (публичный: -)
- `z.dttb.ru` (публичный: 176.62.183.186)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | — |
| `bit.dttb.ru` | 176.62.183.186 | — |
| `bitrix24.dttb.ru` | 176.62.183.186 | — |
| `bot.dttb.ru` | 176.62.183.186 | — |
| `dttb.ru` | 176.62.183.186 | — |
| `git.dttb.ru` | 176.62.183.186 | — |
| `home.dttb.ru` | 176.62.183.186 | — |
| `ip.dttb.ru` | 176.62.183.186 | — |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | — |
| `mail.dttb.ru` | 176.62.183.186 | — |
| `matrix.dttb.ru` | 176.62.183.186 | — |
| `npm.dttb.ru` | 176.62.183.186 | — |
| `office.dttb.ru` | 176.62.183.186 | — |
| `plex.dttb.ru` | 176.62.183.186 | — |
| `porteiner.dttb.ru` | 176.62.183.186 | — |
| `pve.dttb.ru` | 176.62.183.186 | — |
| `rec.dttb.ru` | 176.62.183.186 | — |
| `remot.dttb.ru` | 176.62.183.186 | — |
| `router.dttb.ru` | 176.62.183.186 | — |
| `vpn.dttb.ru` | — | — |
| `z.dttb.ru` | 176.62.183.186 | — |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

73
audit/2026-05-17-drift.md Normal file
View File

@@ -0,0 +1,73 @@
---
date: 2026-05-17
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-05-17
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **40**
- Упомянуто в inventory: **38**
- В обоих: 37 / только в live: 3 / отсутствуют в live: 0
- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 128 | LXC | stopped | profi-parser |
| 131 | VM | running | ubuntu |
| 139 | LXC | running | severny-les |
## ✓ Удалённые хосты (задокументированы): 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | stopped | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | stopped | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | running | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | running | s1c-buzharovo |
| 134 | LXC | stopped | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

202
audit/2026-05-17-health.md Normal file
View File

@@ -0,0 +1,202 @@
---
date: 2026-05-17
type: audit
source: kb-health.py
score: 785
tags: [audit, health, metric]
---
# KB health — 2026-05-17
**Score (меньше = лучше): `785`**
Проверено файлов: 855
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 4 | 10 | 40 |
| broken_paths | 48 | 10 | 480 |
| missing_frontmatter | 21 | 3 | 63 |
| orphan_files | 51 | 2 | 102 |
| undated_todos | 70 | 1 | 70 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **785** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
| `notes/claude/2026-04-24-230658-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/openwrt-bypass.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-124829-в-ниикн-нспд.md` | `projects/niikn/govru-quickfix-playbook.md` |
| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-04-093928-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/niikn/network-topology-diagram.md` |
| `notes/claude/2026-04-24-202451-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `claude-memory/znamenskoye-ohothozyistvo.md` |
## Без frontmatter (21)
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (51)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/clawdbot-niikn.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- `projects/niikn/npm.md`
- `projects/niikn/openwrt-bypass.md`
- `projects/niikn/network-topology-diagram.md`
- `projects/niikn/NC-Talk-Setup.md`
- `projects/niikn/domofon.md`
- `projects/niikn/vpn.md`
- `projects/mmfb/mikrotik.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-routing-roscomvpn.md`
- `snippets/invoice-template.md`
- `snippets/clients/oksana-niikn-rustdesk.md`
- ... +21 ещё
## TODO без даты (70 шт в 10 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/openwrt-4/README.md` — 6 шт
- `projects/benilux/README.md` — 6 шт
- `projects/sergey/README.md` — 6 шт
- `projects/dttb/vpn-clients.md` — 5 шт
- `projects/vishnevyy-sad/README.md` — 5 шт
- `claude-memory/mas-niikn.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `credentials.md`:
- `projects/dttb/credentials.md`
- `projects/niikn/credentials.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

62
audit/2026-05-17-npm-drift.md Normal file
View File

@@ -0,0 +1,62 @@
---
date: 2026-05-17
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-05-17
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **22**
- В KB: **20**
- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

37
audit/2026-05-17-objects-audit.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-05-17
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 6
---
# KB objects audit — 2026-05-17
**Score (меньше = лучше): `6`**
- Проектов с frontmatter: **13/13** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **0**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
✅ битых ссылок не найдено

185
audit/2026-05-17-proposed.md Normal file
View File

@@ -0,0 +1,185 @@
---
date: 2026-05-17
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-05-17
Сгенерировано Claude Opus на основе [[2026-05-17-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
## 1. Резюме
В Proxmox появились 3 гостя, отсутствующих в inventory (LXC 128 profi-parser — спорно, VM 131 ubuntu, LXC 139 severny-les). Также обнаружены расхождения статусов (Mailcow, ZnamSecurityBot, vpn-proxy стали stopped) и переименования удалённых VM 129/133, которые снова live.
---
## 2. Конкретные правки
### 2.1. VM 107 — Mailcow: статус running → stopped
Перенести из секции "🟢 Запущенные VM" в таблицу "🔴 Остановленные VM":
```diff
- ### VM 107 — Mailcow
- | Параметр | Значение |
- |----------|----------|
- | Статус | 🟢 running |
- | CPU | 4 vCPU |
- | RAM | 8 GB |
- | Диск | 60 GB |
- | IP | 10.0.0.107 |
- | NPM домен | mail.dttb.ru |
- | Назначение | Почтовый сервер dttb.ru |
```
Добавить строку в таблицу остановленных VM:
```diff
+ | 107 | Mailcow | 4 | 8 GB | 60 GB | Почтовый сервер dttb.ru (mail.dttb.ru) |
```
---
### 2.2. VM 131 — ubuntu: добавить (новый, running)
Добавить в секцию "🟢 Запущенные VM":
```diff
+ ### VM 131 — ubuntu
+ | Параметр | Значение |
+ |----------|----------|
+ | Статус | 🟢 running |
+ | Назначение | Ubuntu (уточнить) |
```
---
### 2.3. VM 129 — profi-parser-vm: обновить в "Удалённые"
VM 129 жива (stopped) и переименована. Убрать из "Удалённые", добавить в остановленные VM:
```diff
## 🗑️ Удалённые (история)
- | 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) в `/root/backup-lxc129/`, IP 10.0.0.206 освобождён |
```
```diff
## 🔴 Остановленные VM (QEMU)
+ | 129 | profi-parser-vm | — | — | — | Парсер profi (бывш. Clawdbot) |
```
---
### 2.4. VM 133 — s1c-buzharovo: обновить в "Удалённые"
VM 133 жива (running) и переименована. Убрать из "Удалённые", добавить в запущенные VM:
```diff
## 🗑️ Удалённые (история)
- | 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
```
```diff
+ ### VM 133 — s1c-buzharovo
+ | Параметр | Значение |
+ |----------|----------|
+ | Статус | 🟢 running |
+ | Назначение | 1С Бужарово (уточнить) |
```
---
### 2.5. LXC 134 — ZnamSecurityBot: статус running → stopped
Убрать из секции "🟢 Запущенные LXC", добавить строку в "🔴 Остановленные LXC":
```diff
- ### LXC 134 — ZnamSecurityBot
- | Параметр | Значение |
- |----------|----------|
- | Статус | 🟢 running |
- | IP | 10.0.0.238 |
- | Tags | ai, assistant, community-script |
- | Назначение | ZnamSecurity Telegram-бот |
```
```diff
## 🔴 Остановленные LXC
+ | 134 | ZnamSecurityBot | ZnamSecurity Telegram-бот |
```
---
### 2.6. LXC 138 — vpn-proxy: статус running → stopped
Убрать из секции "🟢 Запущенные LXC", добавить строку в "🔴 Остановленные LXC":
```diff
- ### LXC 138 — vpn-proxy
- | Параметр | Значение |
- |----------|----------|
- | Статус | 🟢 running |
- | IP | 10.0.0.141 (LAN) / 100.70.161.29 (NetBird) |
- | Назначение | VPN-proxy (детали уточнить) |
```
```diff
## 🔴 Остановленные LXC
+ | 138 | vpn-proxy | VPN-proxy |
```
---
### 2.7. LXC 139 — severny-les: добавить (новый, running)
Добавить в секцию "🟢 Запущенные LXC":
```diff
+ ### LXC 139 — severny-les
+ | Параметр | Значение |
+ |----------|----------|
+ | Статус | 🟢 running |
+ | Назначение | Северный лес (уточнить) |
```
---
### 2.8. Обновить сводную таблицу
```diff
- | QEMU VM | 15 | 5 | 10 |
- | LXC | 21 | 11 | 10 |
- | **Итого** | **36** | **16** | **20** |
+ | QEMU VM | 17 | 5 | 12 |
+ | LXC | 22 | 9 | 13 |
+ | **Итого** | **39** | **14** | **25** |
```
*(17 VM: +131, +129 из удалённых, +133 из удалённых; 22 LXC: +139; running: 5 VM (106,111,127,131,133,250=6 на самом деле... пересчитаю)*
Корректный пересчёт:
- VM running: 106, 111, 127, 131, 133, 250 = **6**
- VM stopped: 100, 104, 105, 107, 109, 110, 112, 120, 124, 125, 129, 130 = **12**
- LXC running: 103, 113, 114, 115, 116, 132, 136, 137, 139 = **9**
- LXC stopped: 101, 102, 108, 117, 118, 119, 121, 122, 123, 126, 128, 134, 138 = **13**
```diff
+ | QEMU VM | 18 | 6 | 12 |
+ | LXC | 22 | 9 | 13 |
+ | **Итого** | **40** | **15** | **25** |
```
---
## 3. Предупреждения
1. **LXC 128 (profi-parser)** — drift-отчёт говорит что его нет в inventory, но он уже есть в таблице остановленных LXC. Возможно ложное срабатывание скрипта аудита. Правка не требуется.
2. **VM 129 и 133** — в inventory записаны как удалённые (Clawdbot, clawdbot-1), но live показывает их с другими именами (profi-parser-vm, s1c-buzharovo). Похоже VMID были переиспользованы. Историю стоит сохранить комментарием.
3. **VM 131 (ubuntu), LXC 139 (severny-les)** — нет данных об IP, ресурсах, назначении. Потребуется уточнение вручную (`pct config 139`, `qm config 131`).
4. **Дата обновления** в шапке файла: сменить `2026-04-17``2026-05-17`.

52
audit/2026-05-24-creds-drift.md Normal file
View File

@@ -0,0 +1,52 @@
---
date: 2026-05-24
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-05-24
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 15 / ⚠ Questionable: 3 / ❌ Unreachable: 2
## ❌ Недоступные (проверить: сервер упал? URL поменялся?)
| URL | Status | Detail | Контекст |
|---|---|---|---|
| `http://10.0.0.189:3000` | FAIL | [Errno 113] No route to host | --------- ---------- URL http://10.0.0.189:30 |
| `http://git.dttb.ru` | 502 | Bad Gateway | RL http://10.0.0.189:3000 / http://git.dttb.ru |
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

81
audit/2026-05-24-dns-drift.md Normal file
View File

@@ -0,0 +1,81 @@
---
date: 2026-05-24
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-05-24
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **22**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

72
audit/2026-05-24-drift.md Normal file
View File

@@ -0,0 +1,72 @@
---
date: 2026-05-24
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-05-24
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **40**
- Упомянуто в inventory: **39**
- В обоих: 38 / только в live: 2 / отсутствуют в live: 0
- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 131 | VM | running | ubuntu |
| 139 | LXC | running | severny-les |
## ✓ Удалённые хосты (задокументированы): 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | stopped | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | stopped | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | stopped | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | running | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | running | s1c-buzharovo |
| 134 | LXC | stopped | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

202
audit/2026-05-24-health.md Normal file
View File

@@ -0,0 +1,202 @@
---
date: 2026-05-24
type: audit
source: kb-health.py
score: 785
tags: [audit, health, metric]
---
# KB health — 2026-05-24
**Score (меньше = лучше): `785`**
Проверено файлов: 862
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 4 | 10 | 40 |
| broken_paths | 48 | 10 | 480 |
| missing_frontmatter | 21 | 3 | 63 |
| orphan_files | 51 | 2 | 102 |
| undated_todos | 70 | 1 | 70 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **785** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
| `notes/claude/2026-04-24-230658-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/openwrt-bypass.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194414-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-124829-в-ниикн-нспд.md` | `projects/niikn/govru-quickfix-playbook.md` |
| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-04-093928-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/niikn/network-topology-diagram.md` |
| `notes/claude/2026-04-24-202451-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `claude-memory/znamenskoye-ohothozyistvo.md` |
## Без frontmatter (21)
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (51)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/clawdbot-niikn.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- `projects/niikn/npm.md`
- `projects/niikn/openwrt-bypass.md`
- `projects/niikn/network-topology-diagram.md`
- `projects/niikn/NC-Talk-Setup.md`
- `projects/niikn/domofon.md`
- `projects/niikn/vpn.md`
- `projects/mmfb/mikrotik.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-routing-roscomvpn.md`
- `snippets/invoice-template.md`
- `snippets/clients/oksana-niikn-rustdesk.md`
- ... +21 ещё
## TODO без даты (70 шт в 10 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/openwrt-4/README.md` — 6 шт
- `projects/benilux/README.md` — 6 шт
- `projects/sergey/README.md` — 6 шт
- `projects/dttb/vpn-clients.md` — 5 шт
- `projects/vishnevyy-sad/README.md` — 5 шт
- `claude-memory/mas-niikn.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `credentials.md`:
- `projects/dttb/credentials.md`
- `projects/niikn/credentials.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

62
audit/2026-05-24-npm-drift.md Normal file
View File

@@ -0,0 +1,62 @@
---
date: 2026-05-24
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-05-24
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **22**
- В KB: **20**
- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

37
audit/2026-05-24-objects-audit.md Normal file
View File

@@ -0,0 +1,37 @@
---
date: 2026-05-24
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 6
---
# KB objects audit — 2026-05-24
**Score (меньше = лучше): `6`**
- Проектов с frontmatter: **13/13** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **0**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
✅ битых ссылок не найдено

13
audit/2026-05-24-proposed.md Normal file
View File

@@ -0,0 +1,13 @@
---
date: 2026-05-24
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-05-24
Сгенерировано Claude Opus на основе [[2026-05-24-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.

47
audit/2026-05-31-creds-drift.md Normal file
View File

@@ -0,0 +1,47 @@
---
date: 2026-05-31
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-05-31
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

83
audit/2026-05-31-dns-drift.md Normal file
View File

@@ -0,0 +1,83 @@
---
date: 2026-05-31
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-05-31
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **23**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 21
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

72
audit/2026-05-31-drift.md Normal file
View File

@@ -0,0 +1,72 @@
---
date: 2026-05-31
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-05-31
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **40**
- Упомянуто в inventory: **39**
- В обоих: 38 / только в live: 2 / отсутствуют в live: 0
- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 131 | VM | stopped | ubuntu |
| 139 | LXC | running | severny-les |
## ✓ Удалённые хосты (задокументированы): 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | running | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | running | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | running | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | running | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | stopped | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | stopped | s1c-buzharovo |
| 134 | LXC | running | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | running | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

221
audit/2026-05-31-health.md Normal file
View File

@@ -0,0 +1,221 @@
---
date: 2026-05-31
type: audit
source: kb-health.py
score: 1181
tags: [audit, health, metric]
---
# KB health — 2026-05-31
**Score (меньше = лучше): `1181`**
Проверено файлов: 1132
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 14 | 10 | 140 |
| broken_paths | 76 | 10 | 760 |
| missing_frontmatter | 21 | 3 | 63 |
| orphan_files | 54 | 2 | 108 |
| undated_todos | 80 | 1 | 80 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **1181** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
| `notes/claude/2026-05-23-123133-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-230658-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-193827-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-05-20-200220-давай-проверим-openvrt-benelux.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-27-102650-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| ... | +26 ещё |
## Без frontmatter (21)
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (54)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-05-26-server-upgrade-z6-g4.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-05-26-omni-domain-and-update.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-23-glavtorg-autologon-off.md`
- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/glavtorg/instruction-yaroslav-autologon.md`
- `projects/benilux/credentials.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/maul-pc.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- `projects/niikn/npm.md`
- `projects/niikn/network-topology-diagram.md`
- `projects/niikn/NC-Talk-Setup.md`
- `projects/niikn/domofon.md`
- `projects/niikn/vpn.md`
- `projects/mmfb/mikrotik.md`
- ... +24 ещё
## TODO без даты (80 шт в 13 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/openwrt-4/README.md` — 6 шт
- `projects/buzharovo/severny-les-bot.md` — 6 шт
- `projects/dttb/vpn-clients.md` — 5 шт
- `projects/vishnevyy-sad/README.md` — 5 шт
- `claude-memory/mas-niikn.md` — 5 шт
- `decisions/2026-05-20-benelux-compromise.md` — 4 шт
- `projects/sergey/README.md` — 3 шт
- `projects/peredelki/README.md` — 3 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/peredelki/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `credentials.md`:
- `projects/dttb/credentials.md`
- `projects/benilux/credentials.md`
- `projects/niikn/credentials.md`
- `projects/peredelki/credentials.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

63
audit/2026-05-31-npm-drift.md Normal file
View File

@@ -0,0 +1,63 @@
---
date: 2026-05-31
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-05-31
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **23**
- В KB: **21**
- Совпадений: 21 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

47
audit/2026-05-31-objects-audit.md Normal file
View File

@@ -0,0 +1,47 @@
---
date: 2026-05-31
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 39
---
# KB objects audit — 2026-05-31
**Score (меньше = лучше): `39`**
- Проектов с frontmatter: **14/14** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **11**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

41
audit/2026-05-31-proposed.md Normal file
View File

@@ -0,0 +1,41 @@
---
date: 2026-05-31
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-05-31
Сгенерировано Claude Opus на основе [[2026-05-31-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
План записан в `/root/.claude/plans/swift-tinkering-ladybug.md`. Кратко:
## 1. Резюме
В Proxmox добавился `LXC 139 severny-les`, а VMIDs **129 и 133** (раньше Clawdbot/clawdbot-1 в разделе «🗑️ Удалённые») **переиспользованы** под новые VM `profi-parser-vm` и `s1c-buzharovo`. Сводка/счётчики устарели и расходятся с телом таблиц.
## 2. Блоки правок
**A. Шапка** — дату обновления → 2026-05-31.
**B. Сводка** — пересчёт:
- VM: 15→**18** (5/13)
- LXC: 21→**22** (11/11)
- Итого: 36→**40** (16/24)
**C. Остановленные VM** — добавить две строки (129 `profi-parser-vm`, 133 `s1c-buzharovo`) с пометкой «VMID переиспользован».
**D. Запущенные LXC** — добавить блок `### LXC 139 — severny-les` (только статус + плейсхолдер «уточнить» для IP/CPU/RAM — данных в отчёте нет).
**E. Раздел «🗑️ Удалённые»** — к строкам 129/133 дописать **жирным**, что VMID переиспользованы (иначе кто-то решит, что они свободны).
Полные diff-блоки — в плане.
## 3. Предупреждения
- **VM 131 `ubuntu`** — drift-скрипт ошибочно пометил как «отсутствует». На деле он уже есть в inventory с пометкой «(новый, уточнить)». Править не нужно, но парсер `kb-audit.py` стоит починить.
- **CPU/RAM/диск/IP для 129, 133, 139** в drift-отчёте отсутствуют — в плане стоят плейсхолдеры. Перед коммитом дёрнуть `qm config 129/133` и `pct config 139` на pve.
- **`profi-parser-vm` (VM 129) vs `profi-parser` (LXC 128)** — похоже на миграцию парсера с LXC на VM, стоит уточнить.
- **`s1c-buzharovo` (VM 133)** — имя похоже на «1С buzharovo». Уже есть VM 111 (бывшая 1С, теперь Parsec) — возможно, это отдельное окружение 1С. Не утверждаю без подтверждения.
- Сводка и тело таблиц расходились ещё **до** drift'а — текущий пересчёт это попутно чинит.

52
audit/2026-06-07-creds-drift.md Normal file
View File

@@ -0,0 +1,52 @@
---
date: 2026-06-07
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-06-07
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 10 / ⚠ Questionable: 1 / ❌ Unreachable: 9
## ❌ Недоступные (проверить: сервер упал? URL поменялся?)
| URL | Status | Detail | Контекст |
|---|---|---|---|
| `https://vps.sweb.ru` | FAIL | timed out | --------- ---------- URL https://vps.sweb.ru |
| `https://api.sweb.ru/domains/dns` | FAIL | timed out | ароль `1qaz!QAZ` API `https://api.sweb.ru/ |
| `https://mail.niikn.com` | FAIL | timed out | --------- ---------- URL https://mail.niikn.c |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | FAIL | [Errno 104] Connection reset by peer | Auth URL (вход в редактор) https://edit.telegra. |
| `https://api.telegra.ph/createPage` | FAIL | [Errno 104] Connection reset by peer | тся. Создание страницы: `POST https://api.telegra. |
| `https://api.telegra.ph/editPage` | FAIL | [Errno 104] Connection reset by peer | _token. Редактирование: `POST https://api.telegra. |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | FAIL | [Errno 104] Connection reset by peer | `. **Созданные страницы:** - https://telegra.ph/N |
| `https://api.netbird.io` | FAIL | timed out | C0AAXjN21NPvM` API URL `https://api.netbird. |
| `https://api.netbird.io/api/setup-keys` | FAIL | timed out | it":0,"ephemeral":false}' \ https://api.netbird. |
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

56
audit/2026-06-07-dns-drift.md Normal file
View File

@@ -0,0 +1,56 @@
---
date: 2026-06-07
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-06-07
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **25**
- NXDOMAIN на 8.8.8.8: 1 / пустой ответ локально: 1 / split-horizon: 0
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `bit.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `bot.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `git.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `home.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `ip.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `mail.dttb.ru` | 10.0.0.107 | 10.0.0.107 |
| `matrix.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `npm.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `office.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `omni.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `omni.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
| `plex.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `porteiner.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `pve.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `rec.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `remot.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `router.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `vpn.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `z.dttb.ru` | 10.0.0.195 | 10.0.0.195 |
| `zima.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

71
audit/2026-06-07-drift.md Normal file
View File

@@ -0,0 +1,71 @@
---
date: 2026-06-07
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-06-07
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **40**
- Упомянуто в inventory: **40**
- В обоих: 39 / только в live: 1 / отсутствуют в live: 0
- Известны как удалённые: 1 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 139 | LXC | running | severny-les |
## ✓ Удалённые хосты (задокументированы): 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | running | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | running | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | running | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | stopped | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | stopped | s1c-buzharovo |
| 134 | LXC | running | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

233
audit/2026-06-07-health.md Normal file
View File

@@ -0,0 +1,233 @@
---
date: 2026-06-07
type: audit
source: kb-health.py
score: 1720
tags: [audit, health, metric]
---
# KB health — 2026-06-07
**Score (меньше = лучше): `1720`**
Проверено файлов: 1282
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 16 | 10 | 160 |
| broken_paths | 96 | 10 | 960 |
| missing_frontmatter | 22 | 3 | 66 |
| orphan_files | 58 | 2 | 116 |
| undated_todos | 388 | 1 | 388 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **1720** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-25-001105-на-сервере-glavtorg-можешь-запустить-виртулку-с-ам.md` | `projects/glavtorg/README.md` |
| `notes/claude/2026-05-23-123133-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| ... | +46 ещё |
## Без frontmatter (22)
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (58)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-05-26-server-upgrade-z6-g4.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-05-26-omni-domain-and-update.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-23-glavtorg-autologon-off.md`
- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `notes/ru-geoblocked-services.md`
- `projects/openwrt-4/session-handoff-2026-06-02.md`
- `projects/openwrt-4/client-letter.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/glavtorg/instruction-yaroslav-autologon.md`
- `projects/benilux/kp-alexandr-umny-server.md`
- `projects/benilux/credentials.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/maul-pc.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- `projects/niikn/npm.md`
- `projects/niikn/network-topology-diagram.md`
- ... +28 ещё
## TODO без даты (388 шт в 76 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/buzharovo/severny-les-bot.md` — 6 шт
- `notes/claude/2026-05-30-223109-session.md` — 5 шт
- `notes/claude/2026-05-31-230412-session.md` — 5 шт
- `notes/claude/2026-06-01-115908-session.md` — 5 шт
- `notes/claude/2026-05-31-212135-session.md` — 5 шт
- `notes/claude/2026-05-31-150934-session.md` — 5 шт
- `notes/claude/2026-05-30-143711-session.md` — 5 шт
- `notes/claude/2026-05-31-232509-session.md` — 5 шт
- `notes/claude/2026-05-31-183858-session.md` — 5 шт
- `notes/claude/2026-05-30-140307-session.md` — 5 шт
- `notes/claude/2026-05-31-153910-session.md` — 5 шт
- `notes/claude/2026-05-31-125729-session.md` — 5 шт
- `notes/claude/2026-05-31-111053-session.md` — 5 шт
- `notes/claude/2026-05-31-194441-session.md` — 5 шт
- `notes/claude/2026-06-01-213930-session.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/peredelki/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `credentials.md`:
- `projects/openwrt-4/credentials.md`
- `projects/dttb/credentials.md`
- `projects/benilux/credentials.md`
- `projects/niikn/credentials.md`
- `projects/peredelki/credentials.md`
- `projects/dttb/ai-assistant-pilot/credentials.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

67
audit/2026-06-07-npm-drift.md Normal file
View File

@@ -0,0 +1,67 @@
---
date: 2026-06-07
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-06-07
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **25**
- В KB: **21**
- Совпадений: 21 / новых: 4 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

49
audit/2026-06-07-objects-audit.md Normal file
View File

@@ -0,0 +1,49 @@
---
date: 2026-06-07
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 45
---
# KB objects audit — 2026-06-07
**Score (меньше = лучше): `45`**
- Проектов с frontmatter: **14/14** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **13**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

123
audit/2026-06-07-proposed.md Normal file
View File

@@ -0,0 +1,123 @@
---
date: 2026-06-07
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-06-07
Сгенерировано Claude Opus на основе [[2026-06-07-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
## 1. Краткое резюме
Аудит формально нашёл один drift (LXC 139 `severny-les` есть в Proxmox, нет в inventory), но прямое сравнение живого списка из отчёта с inventory выявило ещё **6 расхождений по статусу/идентичности**: 4 хоста стоят с неверным статусом (112/117/119/138), а VMID **129 и 133 переиспользованы** под новые гости (`profi-parser-vm`, `s1c-buzharovo`), хотя в inventory числятся как удалённые `Clawdbot`/`clawdbot-1`. Аудит-скрипт их не поймал, т.к. проверяет только наличие VMID в тексте, а не статус/имя.
---
## 2. Конкретные правки
### A. Добавить LXC 139 (главный drift из отчёта)
В раздел **🟢 Запущенные LXC**:
```diff
+### LXC 139 — severny-les
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| IP | (уточнить — нет в отчёте) |
+| Назначение | (уточнить — нет в отчёте) |
```
### B. Статус живой ≠ inventory: 112 cloud-dttb (running)
Удалить из таблицы **🔴 Остановленные VM**:
```diff
-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
```
Добавить в **🟢 Запущенные VM**:
```diff
+### VM 112 — cloud-dttb
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| CPU | 8 | RAM | 16 GB | Диск | 80 GB |
+| Назначение | (уточнить) |
```
### C. Статус: 117 motioneye и 119 myspeed (live running)
Удалить из таблицы **🔴 Остановленные LXC**:
```diff
-| 117 | motioneye | MotionEye NVR |
-| 119 | myspeed | Speed test мониторинг |
```
Добавить в **🟢 Запущенные LXC** (myspeed уже имеет IP 10.0.0.113? — нет, это watchyourlan; IP не брать):
```diff
+### LXC 117 — motioneye
+| Статус | 🟢 running | Назначение | MotionEye NVR |
+
+### LXC 119 — myspeed
+| Статус | 🟢 running | Назначение | Speed test мониторинг |
```
### D. Статус: 138 vpn-proxy (live stopped)
Удалить блок из **🟢 Запущенные LXC**:
```diff
-### LXC 138 — vpn-proxy
-| Статус | 🟢 running |
-| IP | 10.0.0.141 (LAN) / 100.70.161.29 (NetBird) |
-| Назначение | VPN-proxy (детали уточнить) |
```
Добавить в **🔴 Остановленные LXC** (IP/NetBird можно сохранить в примечании):
```diff
+| 138 | vpn-proxy | VPN-proxy (LAN 10.0.0.141 / NetBird 100.70.161.29) |
```
### E. Переиспользование VMID 129 → profi-parser-vm
Сейчас 129 в **🗑️ Удалённые** = `Clawdbot`. Живой 129 = `profi-parser-vm` (VM, stopped).
Добавить в **🔴 Остановленные VM**:
```diff
+| 129 | profi-parser-vm | — | — | — | VM-вариант profi-parser (пара к LXC 128) |
```
Поправить строку истории (VMID освобождён ранее, теперь занят заново):
```diff
-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) ... IP 10.0.0.206 освобождён |
+| 129 | Clawdbot (старый) | ~апрель 2026 | Перенесён на code-server (132); **VMID 129 переиспользован под `profi-parser-vm`** |
```
### F. Переиспользование VMID 133 → s1c-buzharovo
Сейчас 133 в **🗑️ Удалённые** = `clawdbot-1`. Живой 133 = `s1c-buzharovo` (VM, stopped).
Добавить в **🔴 Остановленные VM**:
```diff
+| 133 | s1c-buzharovo | — | — | — | 1С-сервер Бужарово (уточнить) |
```
Поправить строку истории:
```diff
-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
+| 133 | clawdbot-1 (старый) | ~апрель 2026 | Мигрирован на openclaw (137); **VMID 133 переиспользован под `s1c-buzharovo`** |
```
### G. Пересчёт сводки и даты
После правок главной ноды (250) живых гостей = 40 (18 VM / 22 LXC):
```diff
-| QEMU VM | 15 | 5 | 10 |
-| LXC | 21 | 11 | 10 |
-| **Итого** | **36** | **16** | **20** |
+| QEMU VM | 18 | 6 | 12 |
+| LXC | 22 | 12 | 10 |
+| **Итого** | **40** | **18** | **22** |
-> Последнее обновление: 2026-05-27 ...
+> Последнее обновление: 2026-06-07 (drift-аудит: +139, статусы 112/117/119/138, реюз VMID 129/133)
```
---
## 3. Предупреждения (неоднозначное)
- **VMID 129 и 133 переиспользованы** — критично. Перед фиксацией подтверди живьём: `qm config 129` / `qm config 133`. Возможно, старые `Clawdbot`/`clawdbot-1` были удалены, а номера переназначены новым гостям. Имена `profi-parser-vm` / `s1c-buzharovo` и назначение «1С Бужарово» — мои предположения по имени, в отчёте назначения нет.
- **Аудит недооценил drift**: `kb-audit.py` сверяет только наличие VMID, не статус и не имя. Расхождения BF найдены ручным сравнением живого списка (он есть в отчёте) с inventory — не выдуманы.
- **139 severny-les**: в отчёте только VMID/тип/статус/имя. IP, ресурсы, назначение — НЕТ. Оставил `(уточнить)`, не выдумывал.
- **IP/ресурсы для 112/117/119**: в отчёте отсутствуют, в блоках не заполнял.
- **Вторая нода 10.0.0.147** ([[proxmox-pve-147]], VM 100 ZimaOS / LXC 101 NPM) drift-отчётом НЕ покрыта (отчёт по ноде .250). Её записи не трогать — иначе пересечётся с VM 100 `NV` / LXC 101 `n8n` главной ноды.
- В текущем inventory уже есть внутреннее расхождение (сводка «10 stopped VM», а в таблице 11) — правка G его заодно устраняет.
Файл не правил — это только предложения к ревью.

47
audit/2026-06-14-creds-drift.md Normal file
View File

@@ -0,0 +1,47 @@
---
date: 2026-06-14
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-06-14
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

90
audit/2026-06-14-dns-drift.md Normal file
View File

@@ -0,0 +1,90 @@
---
date: 2026-06-14
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-06-14
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **29**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 22
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ai.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rustdesk.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `tg.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `zima.umnybot.ru` | 176.62.183.186 | 176.62.183.186 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

70
audit/2026-06-14-drift.md Normal file
View File

@@ -0,0 +1,70 @@
---
date: 2026-06-14
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-06-14
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **41**
- Упомянуто в inventory: **40**
- В обоих: 40 / только в live: 1 / отсутствуют в live: 0
- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 139 | LXC | running | severny-les |
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | running | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | running | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | stopped | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | stopped | s1c-buzharovo |
| 134 | LXC | stopped | ZnamSecurityBot |
| 135 | LXC | running | swarmclaw |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

236
audit/2026-06-14-health.md Normal file
View File

@@ -0,0 +1,236 @@
---
date: 2026-06-14
type: audit
source: kb-health.py
score: 2043
tags: [audit, health, metric]
---
# KB health — 2026-06-14
**Score (меньше = лучше): `2043`**
Проверено файлов: 1416
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 18 | 10 | 180 |
| broken_paths | 117 | 10 | 1170 |
| missing_frontmatter | 23 | 3 | 69 |
| orphan_files | 60 | 2 | 120 |
| undated_todos | 474 | 1 | 474 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **2043** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| ... | +67 ещё |
## Без frontmatter (23)
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (60)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-05-26-server-upgrade-z6-g4.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-05-26-omni-domain-and-update.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-06-04-deapple-migration-roadmap.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-23-glavtorg-autologon-off.md`
- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `notes/ru-geoblocked-services.md`
- `projects/openwrt-4/session-handoff-2026-06-02.md`
- `projects/openwrt-4/client-letter.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/glavtorg/instruction-yaroslav-autologon.md`
- `projects/benilux/kp-alexandr-umny-server.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/maul-pc.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- `projects/niikn/proxmox.md`
- `projects/niikn/NIIKN-ChangeLog.md`
- ... +30 ещё
## TODO без даты (474 шт в 92 файлах)
- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/buzharovo/severny-les-bot.md` — 6 шт
- `notes/claude/2026-05-30-223109-session.md` — 5 шт
- `notes/claude/2026-05-31-230412-session.md` — 5 шт
- `notes/claude/2026-06-01-115908-session.md` — 5 шт
- `notes/claude/2026-05-31-212135-session.md` — 5 шт
- `notes/claude/2026-05-31-150934-session.md` — 5 шт
- `notes/claude/2026-05-30-143711-session.md` — 5 шт
- `notes/claude/2026-05-31-232509-session.md` — 5 шт
- `notes/claude/2026-06-08-161105-session.md` — 5 шт
- `notes/claude/2026-06-07-235211-session.md` — 5 шт
- `notes/claude/2026-06-08-160130-session.md` — 5 шт
- `notes/claude/2026-06-08-002741-session.md` — 5 шт
- `notes/claude/2026-05-31-183858-session.md` — 5 шт
- `notes/claude/2026-05-30-140307-session.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/peredelki/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `credentials.md`:
- `projects/openwrt-4/credentials.md`
- `projects/dttb/credentials.md`
- `projects/benilux/credentials.md`
- `projects/niikn/credentials.md`
- `projects/peredelki/credentials.md`
- `projects/dttb/ai-assistant-pilot/credentials.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

70
audit/2026-06-14-npm-drift.md Normal file
View File

@@ -0,0 +1,70 @@
---
date: 2026-06-14
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-06-14
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **29**
- В KB: **26**
- Совпадений: 26 / новых: 3 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
| 33 | `tg.umnybot.ru` | `10.0.0.190:3000` | ✓ | on |
| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

51
audit/2026-06-14-objects-audit.md Normal file
View File

@@ -0,0 +1,51 @@
---
date: 2026-06-14
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 51
---
# KB objects audit — 2026-06-14
**Score (меньше = лучше): `51`**
- Проектов с frontmatter: **14/14** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **15**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

120
audit/2026-06-14-proposed.md Normal file
View File

@@ -0,0 +1,120 @@
---
date: 2026-06-14
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-06-14
Сгенерировано Claude Opus на основе [[2026-06-14-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
## 1. Резюме
Drift минимальный по составу (скрипт нашёл 1 «лишнего» гостя — LXC 139 `severny-les`, его нет в inventory), но при ручной сверке полного живого списка вылезли **4 расхождения по статусам** (112, 119 — стали running; 134, 138 — стали stopped) и **2 конфликта переиспользования VMID** (129 и 133 числятся в «Удалённых», но live показывает на этих ID новые гостей). Сводная таблица и счётчики тоже устарели (37 → 41).
## 2. Конкретные правки
### A. Добавить LXC 139 `severny-les` (главная находка скрипта)
В раздел `## 🟢 Запущенные LXC`:
```diff
+### LXC 139 — severny-les
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| IP | (уточнить) |
+| Назначение | (уточнить) |
```
В drift-отчёте есть только VMID/type/status/name — IP и назначение неизвестны, оставлены заглушки.
### B. Статус-дрифт VM 112 `cloud-dttb`: stopped → running
Удалить строку из `## 🔴 Остановленные VM`:
```diff
-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
```
Добавить блок в `## 🟢 Запущенные VM`:
```diff
+### VM 112 — cloud-dttb
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| Назначение | — |
```
### C. Статус-дрифт LXC 119 `myspeed`: stopped → running
Удалить из `## 🔴 Остановленные LXC`:
```diff
-| 119 | myspeed | Speed test мониторинг |
```
Добавить в `## 🟢 Запущенные LXC`:
```diff
+### LXC 119 — myspeed
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| Назначение | Speed test мониторинг |
```
### D. Статус-дрифт LXC 134 `ZnamSecurityBot`: running → stopped
Удалить блок из `## 🟢 Запущенные LXC` (весь блок «LXC 134 — ZnamSecurityBot»).
Добавить строку в `## 🔴 Остановленные LXC`:
```diff
+| 134 | ZnamSecurityBot | ZnamSecurity Telegram-бот |
```
### E. Статус-дрифт LXC 138 `vpn-proxy`: running → stopped
Удалить блок из `## 🟢 Запущенные LXC` (весь блок «LXC 138 — vpn-proxy»).
Добавить строку в `## 🔴 Остановленные LXC`:
```diff
+| 138 | vpn-proxy | VPN-proxy (детали уточнить) |
```
### F. Конфликт VMID 129 — переиспользован
Live: `129 VM stopped profi-parser-vm`. В inventory 129 числится в «🗑️ Удалённые» как `Clawdbot`.
Добавить в `## 🔴 Остановленные VM`:
```diff
+| 129 | profi-parser-vm | — | — | — | (новый, уточнить) |
```
И поправить историческую запись (ID переиспользован под новую VM):
```diff
-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены ... IP 10.0.0.206 освобождён |
+| 129 | Clawdbot | ~апрель 2026 | Удалён; VMID 129 переиспользован под profi-parser-vm |
```
### G. Конфликт VMID 133 — переиспользован
Live: `133 VM stopped s1c-buzharovo`. В inventory 133 числится в «🗑️ Удалённые» как `clawdbot-1`.
Добавить в `## 🔴 Остановленные VM`:
```diff
+| 133 | s1c-buzharovo | — | — | — | (новый, уточнить) |
```
Поправить историческую запись:
```diff
-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
+| 133 | clawdbot-1 | ~апрель 2026 | Удалён; VMID 133 переиспользован под s1c-buzharovo |
```
### H. Пересчитать сводную таблицу (по факту live = 41 гость)
```diff
-| QEMU VM | 15 | 5 | 10 |
-| LXC | 22 | 12 | 10 |
-| **Итого** | **37** | **17** | **20** |
+| QEMU VM | 18 | 6 | 12 |
+| LXC | 23 | 11 | 12 |
+| **Итого** | **41** | **17** | **24** |
```
(VM: running 106,107,111,112,127,250 = 6; LXC running 103,113,114,115,116,119,132,135,136,137,139 = 11.)
### I. Обновить дату
```diff
-> Последнее обновление: 2026-06-08 (добавлен LXC 135 swarmclaw)
+> Последнее обновление: 2026-06-14 (drift-аудит: +LXC 139; статусы 112/119/134/138; VMID 129/133 переиспользованы)
```
## 3. Предупреждения / неоднозначности
- **Нет данных в отчёте** для IP/назначения у: 139 `severny-les`, 129 `profi-parser-vm`, 133 `s1c-buzharovo`. Я оставил «уточнить» — заполнять вручную, не выдумывать.
- **Статус-дрифты (BE) скрипт НЕ флагал** — он сверяет только присутствие/тип, не статус. Найдено вручную по «Полному живому списку» отчёта. Статус — вещь динамическая (могли просто запустить/остановить); прежде чем двигать блоки, убедись что это устойчивое состояние, а не разовый запуск.
- **VMID 135**: в «Удалённых» есть `whisper-bot (135)`, а live/активный inventory — `swarmclaw (135)`. Это уже корректно отражено в активном разделе; запись в истории трогать не обязательно (просто факт переиспользования ID).
- **Второй нода 10.0.0.147**: в шапке упомянуты VM 100 / LXC 101 на standalone-ноде. В live-списке 100=`NV`, 101=`n8n` — это ID основной ноды. Drift-отчёт сверяет только основную ноду, расхождение по второй ноде здесь не оценивается.
- Блоки B и F (oба VM с минимумом полей) даны в сокращённом виде — CPU/RAM/диск в отчёте отсутствуют.

52
audit/2026-06-21-creds-drift.md Normal file
View File

@@ -0,0 +1,52 @@
---
date: 2026-06-21
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-06-21
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 15 / ⚠ Questionable: 3 / ❌ Unreachable: 2
## ❌ Недоступные (проверить: сервер упал? URL поменялся?)
| URL | Status | Detail | Контекст |
|---|---|---|---|
| `https://vps.sweb.ru` | FAIL | [Errno 104] Connection reset by peer | --------- ---------- URL https://vps.sweb.ru |
| `https://api.sweb.ru/domains/dns` | FAIL | [Errno 104] Connection reset by peer | ароль `1qaz!QAZ` API `https://api.sweb.ru/ |
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

93
audit/2026-06-21-dns-drift.md Normal file
View File

@@ -0,0 +1,93 @@
---
date: 2026-06-21
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-06-21
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **31**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 23
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ai.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rustdesk.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `tg.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `zima.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

72
audit/2026-06-21-drift.md Normal file
View File

@@ -0,0 +1,72 @@
---
date: 2026-06-21
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-06-21
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **43**
- Упомянуто в inventory: **42**
- В обоих: 42 / только в live: 1 / отсутствуют в live: 0
- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 139 | LXC | running | severny-les |
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | running | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | running | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | running | Zima-OS |
| 131 | VM | stopped | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | stopped | s1c-buzharovo |
| 134 | LXC | stopped | ZnamSecurityBot |
| 135 | LXC | running | swarmclaw |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 140 | LXC | running | unifi |
| 141 | LXC | running | german |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

241
audit/2026-06-21-health.md Normal file
View File

@@ -0,0 +1,241 @@
---
date: 2026-06-21
type: audit
source: kb-health.py
score: 2285
tags: [audit, health, metric]
---
# KB health — 2026-06-21
**Score (меньше = лучше): `2285`**
Проверено файлов: 1431
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 23 | 10 | 230 |
| broken_paths | 132 | 10 | 1320 |
| missing_frontmatter | 23 | 3 | 69 |
| orphan_files | 62 | 2 | 124 |
| undated_todos | 512 | 1 | 512 |
| duplicate_basenames | 6 | 5 | 30 |
| **ИТОГО** | | | **2285** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-06-15-unifi-controller-homelab.md` | `[[feedback_dttb_dns_split_view]]` |
| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
| `projects/dttb/proxmox-pve-147.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-05-30-002747-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-204621-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-05-30-003032-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `projects/benilux/README.md` |
| `notes/claude/2026-05-20-190402-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| ... | +82 ещё |
## Без frontmatter (23)
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (62)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md`
- `decisions/2026-05-26-server-upgrade-z6-g4.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-06-04-deapple-migration-roadmap.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-23-glavtorg-autologon-off.md`
- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `decisions/2026-06-20-german-hermes-out-of-usage.md`
- `notes/ru-geoblocked-services.md`
- `projects/openwrt-4/STATUS-2026-06-03-eod.md`
- `projects/openwrt-4/session-handoff-2026-06-02.md`
- `projects/openwrt-4/client-letter.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/glavtorg/instruction-yaroslav-autologon.md`
- `projects/benilux/kp-alexandr-umny-server.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/maul-pc.md`
- `projects/niikn/groupfolders-migration.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/matrix.md`
- ... +32 ещё
## TODO без даты (512 шт в 93 файлах)
- `projects/backlog-current.md` — 39 шт
- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/buzharovo/severny-les-bot.md` — 6 шт
- `notes/claude/2026-05-30-223109-session.md` — 5 шт
- `notes/claude/2026-05-31-230412-session.md` — 5 шт
- `notes/claude/2026-06-01-115908-session.md` — 5 шт
- `notes/claude/2026-05-31-212135-session.md` — 5 шт
- `notes/claude/2026-05-31-150934-session.md` — 5 шт
- `notes/claude/2026-05-30-143711-session.md` — 5 шт
- `notes/claude/2026-05-31-232509-session.md` — 5 шт
- `notes/claude/2026-06-08-161105-session.md` — 5 шт
- `notes/claude/2026-06-07-235211-session.md` — 5 шт
- `notes/claude/2026-06-08-160130-session.md` — 5 шт
- `notes/claude/2026-06-08-002741-session.md` — 5 шт
- `notes/claude/2026-05-31-183858-session.md` — 5 шт
## Дубликаты имён (6)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/peredelki/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `credentials.md`:
- `projects/openwrt-4/credentials.md`
- `projects/dttb/credentials.md`
- `projects/benilux/credentials.md`
- `projects/niikn/credentials.md`
- `projects/peredelki/credentials.md`
- `projects/dttb/ai-assistant-pilot/credentials.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

76
audit/2026-06-21-npm-drift.md Normal file
View File

@@ -0,0 +1,76 @@
---
date: 2026-06-21
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-06-21
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **31**
- В KB: **27**
- Совпадений: 27 / новых: 4 / удалённых из NPM: 0 / с изменениями: 4
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
### #33 `tg.umnybot.ru`
- backend: KB=`10.0.0.190:3000` → live=`10.0.0.221:80`
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
| 33 | `tg.umnybot.ru` | `10.0.0.221:80` | ✓ | on |
| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
| 36 | `unifi.dttb.ru` | `10.0.0.196:8443` | ✓ | on |
| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

56
audit/2026-06-21-objects-audit.md Normal file
View File

@@ -0,0 +1,56 @@
---
date: 2026-06-21
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 66
---
# KB objects audit — 2026-06-21
**Score (меньше = лучше): `66`**
- Проектов с frontmatter: **14/14** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **20**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
- [decisions/2026-06-15-unifi-controller-homelab.md](decisions/2026-06-15-unifi-controller-homelab.md) — `[[feedback_dttb_dns_split_view]]` → нет такого файла
- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
- [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла

98
audit/2026-06-21-proposed.md Normal file
View File

@@ -0,0 +1,98 @@
---
date: 2026-06-21
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-06-21
Сгенерировано Claude Opus на основе [[2026-06-21-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
Аудит формально нашёл только 1 расхождение, но сверка **полного** live-списка из отчёта вскрывает ещё несколько. Разбор ниже.
## 1. Резюме
Помимо отсутствующего `LXC 139 severny-les`, в inventory разъехались **4 статуса** (112, 119, 130 на самом деле `running`; 134 — `stopped`) и устарел раздел «Удалённые»: VMID **129/133/135 переиспользованы** живыми гостями. Сводные числа тоже неверны (39 → должно быть 43).
## 2. Конкретные правки
**A. Добавить блок LXC 139 (раздел «Запущенные LXC»)**
```diff
+### LXC 139 — severny-les
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| IP | (уточнить — в отчёте нет) |
+| Назначение | (уточнить) |
```
> В drift-отчёте по 139 есть только имя+статус. IP/роль не выдумывал — заглушки.
**B. Исправить статусы (running, а не stopped)** — убрать из таблиц остановленных:
```diff
# Остановленные VM:
-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
-| 130 | Zima-OS | 4 | 12 GB | 32 GB | ZimaOS |
# Остановленные LXC:
-| 119 | myspeed | Speed test мониторинг |
```
…и добавить их как running (минимальные записи, деталей в отчёте нет):
```diff
# Запущенные VM:
+### VM 112 — cloud-dttb → 🟢 running (IP уточнить)
+### VM 130 — Zima-OS → 🟢 running (IP уточнить)
# Запущенные LXC:
+### LXC 119 — myspeed → 🟢 running (IP уточнить)
```
**C. LXC 134 ZnamSecurityBot — теперь stopped**
```diff
-### LXC 134 — ZnamSecurityBot
-| Статус | 🟢 running |
+# переместить в таблицу «Остановленные LXC»:
+| 134 | ZnamSecurityBot | ZnamSecurity Telegram-бот (10.0.0.238) |
```
**D. Раздел «Удалённые» устарел — VMID переиспользованы**
```diff
-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132)... |
-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
-| 135 | whisper-bot| ~апрель 2026 | — |
```
> 129 → живой `profi-parser-vm` (VM, stopped); 133 → `s1c-buzharovo` (VM, stopped); 135 → `swarmclaw` (LXC, running — **уже** описан отдельным блоком, т.е. сейчас числится дважды). Историю можно сохранить, но пометкой «VMID освобождён и переиспользован», а не как «удалён».
Добавить 129/133 в «Остановленные VM»:
```diff
+| 129 | profi-parser-vm | — | — | — | (уточнить) |
+| 133 | s1c-buzharovo | — | — | — | (уточнить) |
```
**E. Сводка**
```diff
-| QEMU VM | 15 | 5 | 10 |
-| LXC | 24 | 14| 10 |
-| **Итого** | **39** | **19** | **20** |
+| QEMU VM | 18 | 7 | 11 |
+| LXC | 25 | 13| 12 |
+| **Итого** | **43** | **20** | **23** |
```
> Пересчитано по live-списку отчёта (VM 18 / LXC 25; running 20 / stopped 23).
**F. Дата обновления (шапка)**
```diff
-> Последнее обновление: 2026-06-18 (добавлен LXC 141 german...)
+> Последнее обновление: 2026-06-21 (drift-аудит: +LXC 139; статусы 112/119/130/134; переиспользование VMID 129/133/135)
```
## 3. Предупреждения (неоднозначное)
- **139, 112, 119, 130**: в отчёте нет IP/назначения — поставил `(уточнить)`, заполнять вручную из живых хостов, не из отчёта.
- **133 `s1c-buzharovo`**: имя намекает на 1С (Бужарово), но отчёт это не подтверждает — назначение оставил «уточнить», не додумывал.
- **VMID 129/133/135 переиспользованы**: перед удалением старых записей убедись, что привязки прежних ролей (напр. `backup-lxc129` на code-server) уже не актуальны.
- **Статусы — снимок на момент аудита**. VM включают/выключают; running/stopped мог измениться — сверить при применении.
- Мелочь вне drift: `LXC 138 vpn-proxy` лежит в секции «Запущенные LXC», хотя статус stopped (и в live тоже stopped) — стоит переложить в остановленные.
---
Файл не трогал, как просили. Если хочешь — могу применить эти правки (выйдя из plan-режима) или отдать готовый патч.

55
audit/2026-06-28-creds-drift.md Normal file
View File

@@ -0,0 +1,55 @@
---
date: 2026-06-28
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-06-28
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **28**
- ✓ Reachable: 25 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.143:5000` | 200 | ✓ reachable |
| `http://100.70.9.163:5000` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `http://10.0.0.221` | 200 | ✓ reachable |
| `http://10.0.0.221:7681` | 200 | ✓ reachable |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://german.dttb.ru` | 200 | ✓ reachable |
| `https://auth.dttb.ru` | 200 | ✓ reachable |
| `https://dash.dttb.ru` | 401 | ✓ auth-required (сервер жив) |
| `http://10.0.0.148:3000` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

101
audit/2026-06-28-dns-drift.md Normal file
View File

@@ -0,0 +1,101 @@
---
date: 2026-06-28
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-06-28
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **35**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 27
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `auth.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `chat.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dash.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `german.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ai.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `auth.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `chat.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dash.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `german.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `omni.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rustdesk.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `swarm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `tg.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
| `unifi.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `zima.umnybot.ru` | 158.255.0.139 | 158.255.0.139 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

76
audit/2026-06-28-drift.md Normal file
View File

@@ -0,0 +1,76 @@
---
date: 2026-06-28
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-06-28
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **47**
- Упомянуто в inventory: **46**
- В обоих: 46 / только в live: 1 / отсутствуют в live: 0
- Известны как удалённые: 0 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 139 | LXC | running | severny-les |
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | running | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | stopped | profi-parser |
| 129 | VM | stopped | profi-parser-vm |
| 130 | VM | running | Zima-OS |
| 131 | VM | stopped | ubuntu |
| 132 | LXC | running | code-server |
| 133 | VM | stopped | s1c-buzharovo |
| 134 | LXC | stopped | ZnamSecurityBot |
| 135 | LXC | running | swarmclaw |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 139 | LXC | running | severny-les |
| 140 | LXC | running | unifi |
| 141 | LXC | running | german |
| 142 | LXC | running | open-webui |
| 143 | LXC | running | amnezia-panel |
| 144 | LXC | running | authentik |
| 145 | LXC | running | homepage |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

254
audit/2026-06-28-health.md Normal file
View File

@@ -0,0 +1,254 @@
---
date: 2026-06-28
type: audit
source: kb-health.py
score: 2800
tags: [audit, health, metric]
---
# KB health — 2026-06-28
**Score (меньше = лучше): `2800`**
Проверено файлов: 1754
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 31 | 10 | 310 |
| broken_paths | 171 | 10 | 1710 |
| missing_frontmatter | 25 | 3 | 75 |
| orphan_files | 68 | 2 | 136 |
| undated_todos | 534 | 1 | 534 |
| duplicate_basenames | 7 | 5 | 35 |
| **ИТОГО** | | | **2800** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-06-15-unifi-controller-homelab.md` | `[[feedback_dttb_dns_split_view]]` |
| `decisions/2026-06-26-authentik-sso-deploy.md` | `[[project_deapple_migration]]` |
| `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` | `[[../snippets/spaceweb-dns-api]]` |
| `decisions/2026-05-26-omni-domain-and-update.md` | `[[feedback_spaceweb_dns_desync]]` |
| `decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md` | `[[../claude-memory/feedback_lipki_deco_powerline]]` |
| `decisions/2026-05-23-glavtorg-autologon-off.md` | `[[feedback_vmware_workstation_session]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `decisions/2026-06-20-german-hermes-out-of-usage.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md` | `[[project_swarmclaw]]` |
| `notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md` | `[[feedback_antigravity_onboarding]]` |
| `projects/openwrt-4/credentials.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag]]` |
| `projects/dttb/proxmox-pve-147.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/dttb/finland-hostkey-vps.md` | `[[../../claude-memory/finland-vps-security]]` |
| `projects/benilux/kp-alexandr-umny-server.md` | `[[../../claude-memory/project_alexandr_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[project_niikn_maxim_assistant]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/maul-pc.md` | `[[../../snippets/clients/]]` |
| `projects/niikn/desktop-jt9qee4.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/niikn/desktop-35c8vmi.md` | `[[../../snippets/netbird-claude-install.ps1]]` |
| `projects/buzharovo/podkop-router.md` | `[[buzharovo-router]]` |
| `projects/buzharovo/podkop-router.md` | `[[reference_infra]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 0]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 1]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 2]]` |
| `projects/dttb/graphify-out/GRAPH_REPORT.md` | `[[_COMMUNITY_Community 3]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\]]` |
| `snippets/podkop-reference.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` |
| `snippets/podkop-fakeip-diagnostics.md` | `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md` |
| `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_win11_unattended_upgrade.md` |
| `notes/ru-geoblocked-services.md` | `../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_nspd_blocks_mts.md` |
| `notes/claude/2026-06-23-185108-привет.md` | `projects/dttb/openwrt-router.md` |
| `notes/claude/2026-06-23-185108-привет.md` | `snippets/podkop-reference.md` |
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-05-21-102751-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-amnezia-reinstall.md` |
| `notes/claude/2026-04-24-194555-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-30-221054-найди-инфу-вчера-оксане-делали-доступ-через-рустде.md` | `projects/niikn/office-pc.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-05-29-234117-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-06-27-230948-httpsmaildttbrudomainadmin-можешь-найти-креды.md` | `projects/dttb/mailcow-dttb.md` |
| `notes/claude/2026-05-30-105828-давай-проверим-openvrt-benelux.md` | `projects/dttb/proxmox-pve-147.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/clients/yaroslav-amnezia-setup.md` |
| `notes/claude/2026-04-24-194322-создай-учет-подключаемых-клиентов-со-всеми-данными.md` | `snippets/apple-id-us-on-russia.md` |
| `notes/claude/2026-05-04-100627-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/znamenskoye/network-topology-diagram.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-06-19-142423-10001-установи-обновление-sh-wget-o-httpsrawgithub.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-06-19-142423-10001-установи-обновление-sh-wget-o-httpsrawgithub.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-05-06-210824-superwhisper-можешь-проверить-не-работает.md` | `../knowledge-base/decisions/2026-05-05-mac-dictation-groq-hammerspoon.md` |
| `notes/claude/2026-06-11-235741-npm-api-креды-не-подходят-поищу-точные-логинпароль.md` | `projects/dttb/npm-proxy-hosts.md` |
| `notes/claude/2026-05-20-195902-давай-проверим-openvrt-benelux.md` | `decisions/2026-05-20-benelux-compromise.md` |
| `notes/claude/2026-05-28-131315-нужно-в-нетбирд-найти-и-настроить-подключение-к-эт.md` | `projects/niikn/maul-pc.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-05-04-085317-можешь-составлять-графические-схемы-на-dttbruhttpd.md` | `projects/dttb/network-topology-diagram.md` |
| `notes/claude/2026-06-18-134919-добей-swarmclaw-по-хэндофу.md` | `snippets/podkop-agent-runbook.md` |
| `notes/claude/2026-05-21-104248-давай-проверим-openvrt-benelux.md` | `projects/benilux/credentials.md` |
| `notes/claude/2026-06-05-123547-давай-проверим-openvrt-benelux.md` | `decisions/2026-06-05-benelux-blackout-fw4-recovery.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-05-23-133737-еще-клиент-ярослав-сервера-1с-главторг-жалуется-чт.md` | `projects/glavtorg/instruction-yaroslav-autologon.md` |
| `notes/claude/2026-05-27-191956-давай-проверим-openvrt-benelux.md` | `snippets/clients/alexandr-benelux-power-recovery.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-06-20-152229-npm-api-креды-не-подходят-поищу-точные-логинпароль.md` | `projects/backlog-current.md` |
| `notes/claude/2026-06-28-014229-httpsmaildttbrudomainadmin-можешь-найти-креды.md` | `projects/dttb/mailcow-dttb.md` |
| `notes/claude/2026-05-28-215219-102531240-администратор-ol260380eg-нужно-подключит.md` | `projects/mmfb/lionart-1c.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/feedback_antigravity_onboarding.md` |
| `notes/claude/2026-05-26-111148-нужно-на-omni-робуте-установить-ему-домен-у-тебя-е.md` | `memory/MEMORY.md` |
| `notes/claude/2026-06-02-001742-есть-клиент-француз-у-него-есть-cudy-tr3000-с-podk.md` | `projects/openwrt-4/canal-plus-setup-runbook.md` |
| `notes/claude/2026-06-08-213054-найди-аналог-openclaw-для-меня-нужен-аркестратор-и.md` | `decisions/2026-06-08-swarmclaw-lxc135-deploy.md` |
| ... | +121 ещё |
## Без frontmatter (25)
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `notes/ru-geoblocked-services.md`
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/office-pc.md`
- `projects/niikn/_kbtmp_readme.md`
- `projects/niikn/kripto-arm.md`
- `projects/niikn/_kbtmp_claude.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/dttb/graphify-out/GRAPH_REPORT.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (68)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-05-14-buzharovo-watchdog-public-only.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-06-01-claude-remote-control-mobile.md`
- `decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md`
- `decisions/2026-05-26-server-upgrade-z6-g4.md`
- `decisions/2026-06-27-benelux-foreign-banks-eu-exit.md`
- `decisions/2026-06-21-buzharovo-mcp-1c-deploy.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-06-11-niikn-opyt-arhiv-100mb.md`
- `decisions/2026-06-04-deapple-migration-roadmap.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-05-05-mac-dictation-groq-hammerspoon.md`
- `decisions/2026-05-23-glavtorg-autologon-off.md`
- `decisions/2026-06-08-finland-vless-happ-dns-diag.md`
- `decisions/2026-05-08-buzharovo-1c-licensing-options.md`
- `decisions/2026-05-06-kb-search-overhaul.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `decisions/2026-06-20-german-hermes-out-of-usage.md`
- `notes/ru-geoblocked-services.md`
- `projects/openwrt-4/STATUS-2026-06-03-eod.md`
- `projects/openwrt-4/session-handoff-2026-06-02.md`
- `projects/openwrt-4/client-letter.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/glavtorg/instruction-yaroslav-autologon.md`
- `projects/benilux/kp-alexandr-umny-server.md`
- `projects/niikn/mailcow.md`
- `projects/niikn/NIIKN-Infrastructure.md`
- `projects/niikn/credentials.md`
- `projects/niikn/changelog.md`
- `projects/niikn/_kbtmp_tpl_decision.md`
- ... +38 ещё
## TODO без даты (534 шт в 99 файлах)
- `projects/backlog-current.md` — 39 шт
- `decisions/2026-06-04-deapple-migration-roadmap.md` — 13 шт
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `projects/lipki/README.md` — 11 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-05-26-server-upgrade-z6-g4.md` — 6 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/buzharovo/severny-les-bot.md` — 6 шт
- `notes/claude/2026-05-30-223109-session.md` — 5 шт
- `notes/claude/2026-05-31-230412-session.md` — 5 шт
- `notes/claude/2026-06-01-115908-session.md` — 5 шт
- `notes/claude/2026-05-31-212135-session.md` — 5 шт
- `notes/claude/2026-05-31-150934-session.md` — 5 шт
- `notes/claude/2026-06-15-203254-session.md` — 5 шт
- `notes/claude/2026-05-30-143711-session.md` — 5 шт
- `notes/claude/2026-05-31-232509-session.md` — 5 шт
- `notes/claude/2026-06-08-161105-session.md` — 5 шт
- `notes/claude/2026-06-07-235211-session.md` — 5 шт
- `notes/claude/2026-06-08-160130-session.md` — 5 шт
- `notes/claude/2026-06-08-002741-session.md` — 5 шт
## Дубликаты имён (7)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/znamenskoye/README.md`
- `projects/openwrt-4/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/benilux/README.md`
- `projects/vishnevyy-sad/README.md`
- `projects/sergey/README.md`
- `projects/niikn/README.md`
- `projects/lipki/README.md`
- `projects/krasnogorsk/README.md`
- `projects/mmfb/README.md`
- `projects/buzharovo/README.md`
- `projects/peredelki/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `snippets/mac-dictation/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `network-topology-diagram.md`:
- `projects/znamenskoye/network-topology-diagram.md`
- `projects/dttb/network-topology-diagram.md`
- `projects/niikn/network-topology-diagram.md`
- `credentials.md`:
- `projects/openwrt-4/credentials.md`
- `projects/dttb/credentials.md`
- `projects/benilux/credentials.md`
- `projects/niikn/credentials.md`
- `projects/peredelki/credentials.md`
- `projects/dttb/ai-assistant-pilot/credentials.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `server1c.md`:
- `projects/dttb/server1c.md`
- `projects/buzharovo/server1c.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

80
audit/2026-06-28-npm-drift.md Normal file
View File

@@ -0,0 +1,80 @@
---
date: 2026-06-28
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-06-28
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **35**
- В KB: **31**
- Совпадений: 31 / новых: 4 / удалённых из NPM: 0 / с изменениями: 4
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
### #33 `tg.umnybot.ru`
- backend: KB=`10.0.0.190:3000` → live=`10.0.0.221:80`
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
| 29 | `omni.dttb.ru` | `10.0.0.179:20128` | ✓ | on |
| 30 | `omni.umnybot.ru` | `10.0.0.163:20128` | ✓ | on |
| 31 | `zima.umnybot.ru` | `10.0.0.190:80` | ✓ | on |
| 32 | `swarm.dttb.ru` | `10.0.0.135:3456` | ✓ | on |
| 33 | `tg.umnybot.ru` | `10.0.0.221:80` | ✓ | on |
| 34 | `rustdesk.umnybot.ru` | `10.0.0.190:3005` | ✓ | on |
| 35 | `ai.umnybot.ru` | `10.0.0.239:9119` | ✓ | on |
| 36 | `unifi.dttb.ru` | `10.0.0.196:8443` | ✓ | on |
| 37 | `umnybot.ru` | `10.0.0.103:3456` | - | on |
| 39 | `chat.dttb.ru` | `10.0.0.142:3000` | ✓ | on |
| 40 | `german.dttb.ru` | `10.0.0.141:9119` | ✓ | on |
| 41 | `auth.dttb.ru` | `10.0.0.144:9000` | ✓ | on |
| 42 | `dash.dttb.ru` | `10.0.0.148:3000` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

67
audit/2026-06-28-objects-audit.md Normal file
View File

@@ -0,0 +1,67 @@
---
date: 2026-06-28
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 99
---
# KB objects audit — 2026-06-28
**Score (меньше = лучше): `99`**
- Проектов с frontmatter: **14/14** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **31**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_busybox_ip_br_flag\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_iphone_breaks_fakeip\|памятка]]` → нет такого файла
- [snippets/podkop-reference.md](snippets/podkop-reference.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring|памятка: корень vs band-aid]]` → нет такого файла
- [snippets/podkop-fakeip-diagnostics.md](snippets/podkop-fakeip-diagnostics.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_openclaw_crash_loop|памятку про sing-box crash-loop]]` → нет такого файла
- [decisions/2026-06-15-unifi-controller-homelab.md](decisions/2026-06-15-unifi-controller-homelab.md) — `[[feedback_dttb_dns_split_view]]` → нет такого файла
- [decisions/2026-06-26-authentik-sso-deploy.md](decisions/2026-06-26-authentik-sso-deploy.md) — `[[project_deapple_migration]]` → нет такого файла
- [decisions/2026-06-08-swarmclaw-lxc135-deploy.md](decisions/2026-06-08-swarmclaw-lxc135-deploy.md) — `[[../snippets/spaceweb-dns-api]]` → нет такого файла
- [decisions/2026-05-26-omni-domain-and-update.md](decisions/2026-05-26-omni-domain-and-update.md) — `[[feedback_spaceweb_dns_desync]]` → нет такого файла
- [decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md](decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md) — `[[../claude-memory/feedback_lipki_deco_powerline]]` → нет такого файла
- [decisions/2026-05-23-glavtorg-autologon-off.md](decisions/2026-05-23-glavtorg-autologon-off.md) — `[[feedback_vmware_workstation_session]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
- [decisions/2026-06-20-german-hermes-out-of-usage.md](decisions/2026-06-20-german-hermes-out-of-usage.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]` → нет такого файла
- [projects/openwrt-4/credentials.md](projects/openwrt-4/credentials.md) — `[[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]` → нет такого файла
- [projects/dttb/proxmox-pve-147.md](projects/dttb/proxmox-pve-147.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/dttb/finland-hostkey-vps.md](projects/dttb/finland-hostkey-vps.md) — `[[../../claude-memory/finland-vps-security]]` → нет такого файла
- [projects/benilux/kp-alexandr-umny-server.md](projects/benilux/kp-alexandr-umny-server.md) — `[[../../claude-memory/project_alexandr_assistant]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[project_niikn_maxim_assistant|Максима Мауля]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/maul-pc.md](projects/niikn/maul-pc.md) — `[[../../snippets/clients/|метод]]` → нет такого файла
- [projects/niikn/desktop-jt9qee4.md](projects/niikn/desktop-jt9qee4.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/desktop-jt9qee4.md](projects/niikn/desktop-jt9qee4.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/desktop-35c8vmi.md](projects/niikn/desktop-35c8vmi.md) — `[[../../snippets/netbird-claude-install.ps1]]` → нет такого файла
- [projects/niikn/desktop-35c8vmi.md](projects/niikn/desktop-35c8vmi.md) — `[[rustdesk\|lejianwen-pro LXC 116]]` → нет такого файла
- [projects/niikn/_kbtmp_claude.md](projects/niikn/_kbtmp_claude.md) — `[[двойные скобки]]` → нет такого файла
- [projects/buzharovo/podkop-router.md](projects/buzharovo/podkop-router.md) — `[[buzharovo-router|Cudy WR6500H 185.13.47.2]]` → нет такого файла
- [projects/buzharovo/podkop-router.md](projects/buzharovo/podkop-router.md) — `[[reference_infra]]` → нет такого файла
- [notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md](notes/claude/2026-06-22-045321-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md) — `[[project_swarmclaw]]` → нет такого файла
- [notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md](notes/claude/2026-06-22-013250-на-proxmox-homelab-установи-hermes-agent-я-его-буд.md) — `[[feedback_antigravity_onboarding]]` → нет такого файла

124
audit/2026-06-28-proposed.md Normal file
View File

@@ -0,0 +1,124 @@
---
date: 2026-06-28
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-06-28
Сгенерировано Claude Opus на основе [[2026-06-28-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
Данные у меня все есть прямо в задании (оба файла inline), править ничего не нужно — выдаю анализ.
## 1. Резюме
Живых гостей 47, в inventory корректно отражено меньше. Аудит явно поймал только **LXC 139 severny-les** (нет в inventory), но сверка полного live-списка с inventory вскрывает ещё несколько расхождений: два запущенных VM (112, 130) числятся остановленными; два VMID из раздела «Удалённые» (129, 133) переиспользованы и снова живы; VMID 135 задвоен (running + Удалённые); сводная таблица и счётчики устарели (42→47).
## 2. Конкретные правки
### A. Добавить LXC 139 (флаг аудита) — раздел «🟢 Запущенные LXC»
```diff
+### LXC 139 — severny-les
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| IP | (уточнить) |
+| Назначение | (уточнить) |
```
> В drift-отчёте только VMID/type/status/name. IP и назначение не выдумываю — пометил «уточнить».
### B. VM 112 cloud-dttb: stopped → running
Live: `112 VM running cloud-dttb`. В inventory он в таблице «🔴 Остановленные VM».
```diff
@@ Остановленные VM (QEMU) @@
-| 112 | cloud-dttb | 8 | 16 GB | 80 GB | — |
```
И добавить блок в «🟢 Запущенные VM»:
```diff
+### VM 112 — cloud-dttb
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| CPU | 8 vCPU |
+| RAM | 16 GB |
+| Диск | 80 GB |
+| Назначение | (уточнить) |
```
### C. VM 130 Zima-OS: stopped → running
Live: `130 VM running Zima-OS`. В inventory — в остановленных (детали есть: IP 10.0.0.221).
```diff
@@ Остановленные VM (QEMU) @@
-| 130 | Zima-OS | 4 | 12 GB | 32 GB | ZimaOS NAS — 10.0.0.221, веб `dttb`/`1qaz!QAZ` (см. credentials) |
```
```diff
+### VM 130 — Zima-OS
+| Параметр | Значение |
+|----------|----------|
+| Статус | 🟢 running |
+| CPU | 4 vCPU |
+| RAM | 12 GB |
+| Диск | 32 GB |
+| IP | 10.0.0.221 (веб `dttb`/`1qaz!QAZ`, см. credentials) |
+| Назначение | ZimaOS NAS |
```
### D. VM 129 profi-parser-vm — VMID переиспользован (см. предупреждения)
Live: `129 VM stopped profi-parser-vm`. В inventory 129 числится только в «🗑️ Удалённые» как Clawdbot.
Добавить в «🔴 Остановленные VM»:
```diff
+| 129 | profi-parser-vm | — | — | — | VM-пара к LXC 128 profi-parser (уточнить) |
```
Аннотировать историческую строку (VMID переиспользован):
```diff
@@ 🗑️ Удалённые (история) @@
-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) ... |
+| 129 | Clawdbot | ~апрель 2026 | Данные на code-server (132) `/root/backup-lxc129/`. ⚠️ VMID 129 переиспользован под VM profi-parser-vm |
```
### E. VM 133 s1c-buzharovo — VMID переиспользован
Live: `133 VM stopped s1c-buzharovo`. В inventory 133 только в «Удалённые» как clawdbot-1.
```diff
+| 133 | s1c-buzharovo | — | — | — | (уточнить; вероятно 1С Бужарово) |
```
```diff
@@ 🗑️ Удалённые (история) @@
-| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
+| 133 | clawdbot-1 | ~апрель 2026 | Мигрирован на openclaw (137). ⚠️ VMID 133 переиспользован под VM s1c-buzharovo |
```
### F. VMID 135 задвоен
Live: `135 LXC running swarmclaw` (в inventory корректный блок уже есть). Но 135 также висит в «Удалённые» как whisper-bot.
```diff
@@ 🗑️ Удалённые (история) @@
-| 135 | whisper-bot | ~апрель 2026 | — |
+| 135 | whisper-bot | ~апрель 2026 | удалён; ⚠️ VMID 135 переиспользован под LXC swarmclaw |
```
### G. Обновить «Сводка»
```diff
-| QEMU VM | 15 | 5 | 10 |
-| LXC | 27 | 17 | 10 |
-| **Итого** | **42** | **22** | **20** |
+| QEMU VM | 18 | 7 | 11 |
+| LXC | 29 | 17 | 12 |
+| **Итого** | **47** | **24** | **23** |
```
> Пересчёт по live-списку: VM 18 (7 running/11 stopped), LXC 29 (17 running/12 stopped).
### H. Обновить шапку
```diff
-> Последнее обновление: 2026-06-27 (добавлен LXC 145 homepage ...)
+> Последнее обновление: 2026-06-28 (drift-аудит: +LXC 139 severny-les; 112/130 → running; VMID 129/133/135 переиспользованы)
```
## 3. Предупреждения
- **Аудит занизил drift.** `kb-audit.py` сверяет только наличие VMID (упомянут/нет), а не статус и не роль. Поэтому он показал «46/46 совпало» и поймал лишь 139 — расхождения по статусу (112, 130) и переиспользованные VMID (129, 133, 135) скрипт не видит. Стоит доработать аудит на сверку status/name.
- **Переиспользование VMID (129, 133, 135).** Не из выдумки — прямо из live-списка отчёта: 129=profi-parser-vm, 133=s1c-buzharovo, 135=swarmclaw, тогда как в «Удалённые» те же VMID = Clawdbot/clawdbot-1/whisper-bot. Это разные сущности на одном номере. Я предложил **сохранить историю** + пометку, а не удалять строки. Реши, как вести: возможно, в «Удал될» лучше указывать дату и не держать сырой VMID, который потом переиспользуется.
- **Нет данных для деталей.** Для 139, 112, 129, 133 в отчёте нет IP/CPU/RAM/назначения — везде проставил «уточнить», ничего не сочинял. Для 130 детали взял из существующей строки inventory.
- **s1c-buzharovo** по имени похоже на 1С-сервер Бужарово (в памяти есть проект роутера Бужарово), но в отчёте подтверждения роли нет — поэтому «вероятно», не факт.
Если хочешь, могу применить эти правки к `proxmox-inventory.md` (тогда выйди из plan mode или дай добро).

18
audit/health-latest.json
View File

@@ -1,13 +1,13 @@
{
"date": "2026-05-03",
"score": 458,
"date": "2026-06-28",
"score": 2800,
"counts": {
"broken_wikilinks": 7,
"broken_paths": 20,
"missing_frontmatter": 17,
"orphan_files": 38,
"undated_todos": 36,
"duplicate_basenames": 5
"broken_wikilinks": 31,
"broken_paths": 171,
"missing_frontmatter": 25,
"orphan_files": 68,
"undated_todos": 534,
"duplicate_basenames": 7
},
"weights": {
"broken_wikilinks": 10,
@@ -17,5 +17,5 @@
"undated_todos": 1,
"duplicate_basenames": 5
},
"files_scanned": 327
"files_scanned": 1754
}

73
audit/objects-map.json
View File

@@ -5,7 +5,8 @@
"names": [
"Benilux",
"OpenWrt Benilux",
"benilux"
"benilux",
"Бенелюкс"
],
"netbird_peers": [
{
@@ -22,12 +23,13 @@
"openwrt",
"netbird",
"client",
"todo",
"istra"
"istra",
"podkop",
"residential"
],
"owner": null,
"region": null,
"status": "stub",
"status": "active",
"file": "projects/benilux/README.md"
},
{
@@ -390,9 +392,13 @@
"id": "openwrt-4",
"type": "project",
"names": [
"Olivier",
"OpenWrt_4",
"canal+",
"openwrt-4",
"openwrt4"
"openwrt4",
"Оливье",
"француз"
],
"netbird_peers": [
{
@@ -409,19 +415,46 @@
"openwrt",
"netbird",
"client",
"todo",
"moscow",
"anonymous"
"podkop",
"amneziawg",
"canal-plus",
"france",
"moscow"
],
"owner": null,
"region": null,
"status": "stub",
"status": "active",
"file": "projects/openwrt-4/README.md"
},
{
"id": "peredelki",
"type": "project",
"names": [
"OpenWrt_Peredelki",
"Peredelki",
"peredelki",
"Переделки",
"Переделкино"
],
"netbird_peers": [],
"tags": [
"object",
"openwrt",
"netbird",
"unifi",
"podkop",
"peredelki"
],
"owner": null,
"region": null,
"status": "offline",
"file": "projects/peredelki/README.md"
},
{
"id": "sergey",
"type": "project",
"names": [
"Cudy_TR3000_Sergey",
"OpenWrt_Sergey",
"Sergey",
"sergey",
@@ -442,11 +475,12 @@
"openwrt",
"netbird",
"client",
"todo"
"podkop",
"amneziawg"
],
"owner": null,
"region": null,
"status": "stub",
"status": "active",
"file": "projects/sergey/README.md"
},
{
@@ -597,6 +631,23 @@
"status": "unknown",
"file": "projects/all-projects-summary.md"
},
{
"id": "backlog-current",
"type": "project-note",
"names": [
"backlog-current"
],
"netbird_peers": [],
"tags": [
"backlog",
"todo",
"open-issues"
],
"owner": null,
"region": null,
"status": "unknown",
"file": "projects/backlog-current.md"
},
{
"id": "bitrix-sites",
"type": "project-note",

12
decisions/2026-04-17-nextcloud-sync-schema.md
View File

@@ -68,6 +68,18 @@ Vault `~/knowledge-base` хранился только в Gitea (`git.dttb.ru/ol
**openclaw read-only** через `git remote set-url --push origin DISABLED_READONLY` — любая попытка push из бота завершится ошибкой "Could not resolve host", случайно перезаписать не сможет.
### Нормализация на code-server (2026-05-26)
Обнаружено что на LXC 132 параллельно существовали **два независимых клона** одного репо:
- `/root/knowledge-base/` — рабочий, `git.dttb.ru` remote, обслуживался `kb-autosync.sh` cron'ом
- `/root/.claude/knowledge-base/` — отдельный клон, `10.0.0.189:3000` remote, использовался Claude Code и Obsidian, **отстал от remote на 1.5 месяца (239 коммитов)**
При попытке push с Claude-клона: rebase-каскад на сотни файлов, конфликты. Это нестабильно.
**Решение:** `/root/.claude/knowledge-base/` → симлинк на `/root/knowledge-base/`. Старый клон сохранён как `/root/.claude/knowledge-base.bak-2026-05-26` (на случай если что-то нужно достать). Все процессы теперь пишут в **один git-репо**, cron каждые 5 минут реально синхронизирует то что наработал Claude Code.
Также: на LXC 136 (Gitea) сетевой настройкой стояло `ip=dhcp` — DHCP выдал `.191` вместо `.189`, push с code-server возвращал `Couldn't connect`. Заменено на `ip=10.0.0.189/24,gw=10.0.0.1` (статика).
### Компоненты
- **`/Users/ai/.config/nextcloud-kb/rclone.conf`** — WebDAV ремоут `kbsync:` на `https://dttb.ru/remote.php/dav/files/admin`, app password в obscured виде

2
decisions/2026-05-05-mac-dictation-groq-hammerspoon.md
View File

@@ -31,6 +31,8 @@
5. **ffmpeg avfoundation `:0`** = default mic. Если нужен другой — `ffmpeg -f avfoundation -list_devices true -i ""`.
6. **PATH в Hammerspoon** при автозапуске пустой — `ffmpeg: command not found`. Симптом: после перезагрузки Mac диктовка не работает, в логе `command not found`. Лечится `export PATH="/usr/local/bin:/opt/homebrew/bin:/usr/bin:/bin:/usr/sbin:/sbin"` в начале скрипта. ВАЖНО: doctor использует mой shell PATH и потому видит ffmpeg — НЕ показатель что Hammerspoon тоже видит. Проверять через `env -i HOME=$HOME bash -c 'PATH=/usr/bin:/bin ~/bin/groq-dictate.sh'`.
## Стоимость
- Hammerspoon бесплатный
- Groq бесплатный (14400 req/day, ~120 минут диктовки в день — намного больше нужного)

310
decisions/2026-05-07-buzharovo-migration-plan.md Normal file
View File

@@ -0,0 +1,310 @@
---
date: 2026-05-07
type: decision
tags: [buzharovo, 1c, migration, plan]
status: approved
target_stack: windows-mssql
related:
- "[[decisions/2026-05-07-buzharovo-recon]]"
- "[[projects/buzharovo/server1c]]"
- "[[projects/buzharovo/migration-prompt-2026-05-07]]"
- "[[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]"
---
> **Решение по стеку (07.05.2026):** идём на **Windows Server VM + MSSQL** (Вариант W).
> Linux/PostgreSQL отложен на потом. Причина выбора: простая миграция через нативный SQL `.bak` → `RESTORE`, без переобучения 6 терминальных юзеров (они продолжают работать через RDP), без отдельного термсервера. На масштаб ~6 юзеров и ~гигабайтной БД разница в скорости с Linux незаметна.
>
> **Лицензионная часть** (1С Server, клиентские, Windows Server) — за Олегом, обрабатывается отдельно. План описывает только техническую миграцию.
# План миграции 1С Бужарово → HomeLab Proxmox
**Цель:** перенести 1С с физического Server1C (Win 2012 R2, бытовая мать ASUS, без ИБП, 24+ крашей в день) на VM на HomeLab Proxmox (10.0.0.250), сохранив работу 6 терминальных юзеров и двух ПК-касс KASSA3/KASSIRULICA2.
**Базис:** `decisions/2026-05-07-buzharovo-recon.md` (отчёт разведки 07.05.2026).
## Критерии успеха
1.Все 4 инфобазы 1С восстановлены и доступны для пользователей
2. ✅ 6 RDP-юзеров (АртемК, ГорячевАЕ, Павел, ПальмановаН, ФирсовС, dttb) работают в 1С через RDP к новой VM
3. ✅ KASSA3 (192.168.1.18) и KASSIRULICA2 (192.168.1.99) пробивают чеки через новую инфраструктуру (TCP до 1С-сервера через NetBird)
4. ✅ Время простоя при cutover ≤ 4 часов (вечер пятницы или ночь субботы)
5. ✅ Откат за ≤ 30 минут (старый Server1C остаётся включённым в Бужарово до недели после миграции)
---
## Архитектура: Вариант A (приоритетный)
```
Интернет
┌────────────────────┼─────────────────────────┐
│ │ │
↓ ↓ ↓
[Бужарово офис] [сельский WISP/РТК?] [HomeLab Москва]
192.168.1.0/24 10.0.0.0/24
┌─────────────┐ │
│ KASSA3 │ ↓
│ 192.168. │ NetBird VPN ┌────────────────┐
│ .1.18 ├──────────────────────────────│ Proxmox PVE │
│ KASSIRUL2 │ (~96 ms RTT) │ 10.0.0.250 │
│ 192.168. │ │ │
│ .1.99 │ │ ┌──────────┐ │
│ │ │ │ VM 1Cnew │ │
│ 6× RDP- │ │ │ Win22/25 │ │
│ юзеров │ RDP 3389 + 1С 1541 │ │ + 1С 8.3 │ │
│ (тонкие │←─────────────────────────────│ │ + MSSQL │ │
│ клиенты) │ │ │ 8 vCPU │ │
│ │ │ │ 32GB RAM │ │
│ Router- │ │ │ 200GB SSD│ │
│ Office │ │ └──────────┘ │
│ (NetBird │ │ │
│ + advertise│ └────────────────┘
│ 192.168.1/ │
│ 24) │
└─────────────┘
```
### Ключевые элементы
- **Целевая VM:** новая на Proxmox 10.0.0.250 (имя `vm-1c-buzharovo` или подобное), Win Server 2022 или 2025, 8 vCPU, 32GB RAM, 200GB SSD (LVM/qcow на NVMe пуле)
- **1С:** 8.3.27.1606 (тот же билд для совместимости), x64, **только одна** служба `1C:Enterprise 8.3 Server Agent (x86-64)` Auto
- **MSSQL:** 2019 или 2022 (Express если суммарный объём всех 4 БД ≤ 10GB; Standard если больше — нужно подтвердить размер!)
- **NetBird-агент** на VM с advertise-route 10.0.0.0/24 (или подключение к существующему "Dom" route group)
- **NetBird на офисном роутере в Бужарово** с advertise 192.168.1.0/24 — это позволит KASSA3/KASSIRULICA2 общаться с новой VM прозрачно
### Почему Вариант A, а не B
- Сейчас ИДЕНТИЧНАЯ схема уже работает: 6 юзеров через RDP в Server1C запускают 1С локально на сервере → переезд просто меняет адрес сервера
- 1С↔MSSQL остаются в одной локалке VM (latency 0.1ms внутри Proxmox), как сейчас
- RDP толерантен к 96ms; толстый клиент 1С через NetBird тормозил бы при открытии справочников
- Касса KASSA3 уже общается с 1С через TCP (порт 1560) → меняется только адрес, протокол сохраняется
---
## Фазы и эстимейты
### Фаза 0: Pre-flight (1 час, до миграции)
**Кто:** Олег + Claude Code
**Что:** ответы на 8 открытых вопросов из `recon.md`:
| # | Вопрос | Action |
|---|---|---|
| 1 | `sa`-пароль MSSQL? | Олег → 1Password / память / создать SQL-login |
| 2 | Лицензия 1С: пинкоды? | Олег → ЛК на portal.1c.ru |
| 3 | Имена 4 инфобаз | Олег → проверить через 1С-клиент или v8i-ярлык на ПК пользователя |
| 4 | ПО на KASSA3/KASSIRULICA2 | Удалёнкой через RDP/AnyDesk на 192.168.1.18 |
| 5 | Провайдер в Бужарово | Олег → договор / счёт |
| 6 | Окно простоя | Олег + бизнес → согласовать |
| 7 | Бюджет на ИБП / альтернатива «починить на месте» | Олег |
| 8 | AnyDesk оставлять? | Олег |
**Также:** определить SQL backup-метод (FULL+DIFF или COPY_ONLY backup → restore).
### Фаза 1: Подготовка целевой VM (2-4 часа)
**Шаги:**
1. **Создать VM на Proxmox 10.0.0.250:**
- VM ID: например 112 (или соседний свободный)
- OS: Win Server 2022 RU (или 2025; ISO у Олега есть, ставился на VM 111)
- vCPU: 8 (с host-passthrough cpu-type)
- RAM: 32 GB (можно ballooning)
- Disks: 1 OS-disk 100GB qcow2 на быстром пуле + 1 data-disk 200GB для БД
- Сеть: vmbr0 → 10.0.0.0/24 (статический IP, например 10.0.0.197)
2. **Базовая настройка Windows:**
- Hostname: `s1c-buzharovo` (или согласуем)
- Локаль: Russian
- Network: статика 10.0.0.197/24, gw 10.0.0.1, DNS 10.0.0.250
- Firewall: разрешить in 3389 (RDP), 1540-1591 (1С), 1433 (SQL только из NetBird-подсетей)
- Обновления Windows
3. **Установка MSSQL:**
- Express или Standard (зависит от размера БД)
- Default instance MSSQLSERVER
- Mixed Mode auth, sa-пароль strong
- SQL Browser: Disabled (нам не нужен)
4. **Установка 1С Предприятие 8.3.27.1606:**
- Server (x64), administrator components
- Создать 1 службу: `1C:Enterprise 8.3 Server Agent (x86-64)` — Automatic
- Ничего лишнего: ни 8.3.18, ни RagentServer_xxx
5. **Настройка ОС:**
- Crash Dump: `CrashDumpEnabled=3`, pagefile фикс 8GB на C: (как на старом сервере)
- Performance: `Set-MpPreference -DisableRealtimeMonitoring $false` (или установить полноценный AV)
- Time zone: МСК
6. **NetBird:**
- Установить netbird-агент
- Подключить к нашему tenant
- Проверить ping к Server1C (100.70.75.103) и доступ из NetBird-сети
7. **RDP-юзеры:**
- Создать локальные учётки: `АртемК, ГорячевАЕ, Павел, ПальмановаН, ФирсовС, dttb`
- Добавить в `Remote Desktop Users` (для RDP) и `Users`
- Пароли на временных, потом сменить
8. **WinRM 5985 / 5986** для нашей автоматизации (basic auth, Private network).
**Артефакт фазы:** живая VM на 10.0.0.197, доступна по RDP/WinRM из NetBird.
### Фаза 2: Тестовая миграция данных (3-5 часов)
**Шаги:**
1. **Бэкап SQL на Server1C** (вне рабочего времени!):
```sql
BACKUP DATABASE [<db1>] TO DISK = 'D:\backup\<db1>.bak' WITH COPY_ONLY, COMPRESSION;
-- повторить для всех 4 БД
```
- Размер бэкапов оценим сразу; время — зависит от размера, при 39GB может быть 30-60 мин
2. **Передача .bak на HomeLab:**
- Через NetBird SMB (Server1C → s1c-buzharovo) или scp/rsync
- 39GB через 96ms NetBird ≈ зависит от throughput; реалистично 1-3 часа
- Альтернатива: бэкапить на USB на Server1C, привезти физически
3. **Восстановление на новой VM:**
```sql
RESTORE DATABASE [<db1>] FROM DISK='C:\restore\<db1>.bak' WITH MOVE ...;
```
4. **Регистрация инфобаз в 1С на новой VM:**
- Через `1cv8.exe` админ-консоль или ручной ввод
- 4 инфобазы → подключение к локальному `s1c-buzharovo:1541`
5. **Smoke-тест:**
- Запустить тонкий клиент 1С на VM локально, открыть каждую базу
- Проверить: журнал регистрации, последние документы, базовые отчёты
- Сверить контрольные суммы / счётчики документов с боевой
6. **Лицензия 1С:**
- Активировать программную лицензию через PIN (получить от Олега)
- Если резервных PIN нет — заявка в 1С-Партнёр на восстановление
**Артефакт фазы:** на новой VM работают все 4 инфобазы (read-only тест).
### Фаза 3: Тест с кассой (1-2 часа)
**Шаги:**
1. На одном ПК `KASSA3` (192.168.1.18):
- Поднять временный VPN/proxy до новой VM (либо через NetBird-агент на самой кассе, либо через NetBird на офисном роутере)
- В настройках кассового ПО изменить адрес сервера 1С (или v8i базы)
- Открыть тестовую копию рабочей базы
- Сделать тестовый чек: товар → пробить → ответ от ОФД
2. То же самое для `KASSIRULICA2` если есть time
3. Откатить изменения на касса-ПК (вернуть на боевой Server1C)
**⚠ Важно:** не работать с боевой БД! Создать тестовую копию инфобазы для проверки чеков. Иначе двойной чек в ОФД.
**Артефакт фазы:** подтверждение что новая инфраструктура совместима с кассой.
### Фаза 4: Cutover (3-4 часа, окно простоя)
**Окно:** вечер пятницы 18:00 → 22:00 МСК (после рабочего дня) или ночь сб → вс.
**Шаги:**
1. **Заранее (за день):** уведомить юзеров и кассиров о времени простоя
2. **T-0:00** Объявить начало миграции, остановить работу пользователей
3. **T+0:05** На Server1C финальный бэкап SQL (FULL + последний DIFF):
```sql
BACKUP DATABASE [<db>] TO DISK='D:\backup\<db>_final.bak' WITH COPY_ONLY, COMPRESSION;
```
4. **T+0:30** Перенести `_final.bak` на новую VM через SMB
5. **T+1:00** Восстановить на новой VM поверх тестовой копии
6. **T+1:30** Smoke-test: 1С запускается, контрольные суммы совпадают
7. **T+1:45** Перенаправить пользователей и кассу:
- RDP-юзеры: новый ярлык RDP к 10.0.0.197 (или через NetBird FQDN)
- KASSA3 / KASSIRULICA2: новый адрес 1С-сервера
8. **T+2:00** Тестовая транзакция от первого юзера и первой кассы
9. **T+2:30** ✅ Миграция завершена, пользователи возобновляют работу
10. **T+3:00** Лог финального состояния, обновить vault
**На Server1C в Бужарово:** НЕ выключать! Оставить работать ещё неделю как backup (можно перевести в read-only режим в 1С — отключить пишущие фоновые задания).
### Фаза 5: Стабилизация (неделя)
- Мониторинг: rmngr CPU на новой VM (watchdog уже есть на LXC 137)
- Сбор обратной связи от пользователей
- Бэкапы: настроить ежедневные на Proxmox-уровне (snapshot) + еженедельный SQL FULL backup
- Через 7 дней без проблем — можно гасить старый Server1C
---
## Risk Register
| # | Риск | Вероятн. | Импакт | Митигация |
|---|---|---|---|---|
| R1 | Лицензия 1С не активируется на новой VM (нет PIN, HWID-привязка) | Средняя | **Критичный** | Pre-flight: получить пинкоды от Олега; запасной план — обращение в 1С-Партнёр |
| R2 | Размер SQL БД >10GB → нужен MSSQL Standard (платный) | Неизвестна | Средний | Pre-flight: получить sa-пароль, измерить размер; иметь готовую лицензию SQL Standard |
| R3 | Касса KASSA3/KASSIRULICA2 не общается с новой 1С (firewall, COM, специфический протокол) | Низкая | Высокий | Фаза 3 — тест ДО cutover; держать резервный туннель на Server1C |
| R4 | Канал в Бужарово упал в момент миграции → юзеры не могут переключиться | Низкая | Высокий | Cutover ночью; держать резерв (мобильный 4G) |
| R5 | Бэкап повреждён или RESTORE с ошибкой | Низкая | **Критичный** | Сначала FULL+DIFF, проверка восстановлением до cutover; держать оригинал |
| R6 | rmngr-loop повторится на новой VM (баг 8.3.27.1606) | Низкая | Средний | Watchdog уже работает; в крайнем случае — даунгрейд до 8.3.26 |
| R7 | Production crash во время Phase 4 backup'а на Server1C | Высокая | Низкий | Бэкап быстрый (COMPRESSION), краш просто откатит наш cutover на 4 часа |
| R8 | Юзеры не находят свои документы / сбит порядок (если несколько ИБ перепутали) | Средняя | Средний | Маппинг GUID→имя ИБ зафиксировать в pre-flight; дублирующие тесты с реальными документами |
| R9 | Закрытие RDP в Интернет на старом Server1C преждевременно — юзер не сможет подключиться | Средняя | Низкий | Закрывать только после полного cutover + 1 неделя стабильности |
| R10 | Касса в офисе работает с особым ПО (1С Розница нестандартного билда) | Низкая | Высокий | Phase 0: проверить через AnyDesk что стоит на 192.168.1.18 |
---
## План отката (≤ 30 минут)
Если после cutover (Фаза 4) обнаружили блокирующий баг:
1. **T-rollback+0:00:** объявить откат
2. **T+0:05:** На клиентских ПК и кассах вернуть старый адрес сервера (1С: 100.70.75.103 / 192.168.1.249; кассы: 192.168.1.249)
3. **T+0:15:** На Server1C запустить службу 1С (она и так работает в RO-режиме)
4. **T+0:25:** Smoke-test от пары юзеров
5. **T+0:30:** ✅ Откат завершён, работа на старом
Условие отката: производственный блокер, не косметический.
---
## Чек-лист готовности к Phase 4 (Cutover)
```
[ ] sa-пароль SQL получен (#1)
[ ] Лицензия 1С: пинкоды известны или есть онлайн-активация (#2)
[ ] Маппинг GUID → имя инфобазы зафиксирован (#3)
[ ] Кассовое ПО изучено (#4) и протестировано в Phase 3
[ ] Канал в Бужарово протестирован (#5), резерв есть
[ ] Окно простоя согласовано с бизнесом (#6)
[ ] Решение по AnyDesk (#8): убрать или оставить
[ ] Phase 1: VM s1c-buzharovo живая, RDP/WinRM/NetBird работают
[ ] Phase 2: тестовая миграция данных прошла, 4 инфобазы открываются
[ ] Phase 3: касса прошла тест чека через новую инфраструктуру
[ ] Бэкап Server1C перед cutover есть и проверен restore'ом
[ ] План отката известен команде, контакты Олега для эскалации
[ ] Юзеры уведомлены за >24 часа до простоя
```
---
## Альтернатива: «починить на месте»
Если миграция отложена, минимальная починка Server1C в Бужарово:
1. **Купить ИБП** (Eaton/APC, ~10000-15000 ₽) на 1500ВА для покрытия 5-10 минут просадок и корректного shutdown
2. **Заменить мать на серверную** (с ECC, IPMI) — сложно/дорого, лучше тогда уж VM
3. **Watchdog** уже есть (LXC 137 → rac.exe restart-service при rmngr-loop)
4. **Бэкапы:** настроить ежедневный Veeam Free / Native SQL Backup → внешний диск + копия в HomeLab Nextcloud
**Не отменяет миграцию**, но снижает срочность. Хорошая идея сделать ИБП параллельно с подготовкой VM — уменьшит крашы пока VM готовится.
---
## Open для обсуждения
- ⚖ **Кто администратор новой VM** — Олег (как сейчас Server1C) или предложить более ограниченную модель (отдельный admin-аккаунт)?
- ⚖ **Public IP / порт RDP** на HomeLab — нет; всё через NetBird. Согласовано?
- ⚖ **Версия Win Server** — 2022 (стабильнее, дольше поддержка) или 2025 (новее, current на VM 111)?
- ⚖ **Версия MSSQL** — оставить 2012 (max совместимость с 8.3.27, но EOL) или прыгнуть на 2019/2022 (поддерживается, может быть несовместимость с конфигурациями 1С)?
---
## Дефолтные параметры новой VM (для запуска Phase 1)
| Параметр | Значение |
|---|---|
| **Proxmox host** | 10.0.0.250 |
| **VM ID** | 112 (если свободен; иначе ближайший свободный) |
| **Имя** | `s1c-buzharovo` |
| **OS** | Windows Server 2022 Standard RU |
| **vCPU** | 8 (host-passthrough) |
| **RAM** | 32 GB |
| **OS-диск** | 100 GB qcow2 |
| **Data-диск** | 200 GB (для SQL БД) |
| **Сеть** | vmbr0, статический IP `10.0.0.197/24`, gw 10.0.0.1, DNS 10.0.0.250 |
| **MSSQL** | 2019 Standard (если БД >10GB) или 2019 Express (если ≤10GB — пока неизвестно) |
| **1С платформа** | 8.3.27.1606 (та же что на старом) |
| **NetBird** | агент установлен, подключён к нашему tenant |
| **WinRM 5985** | для автоматизации |
Если параметры устраивают — начинаем Phase 1 с этими дефолтами.

405
decisions/2026-05-07-buzharovo-recon.md Normal file
View File

@@ -0,0 +1,405 @@
---
date: 2026-05-07
type: decision
tags: [buzharovo, 1c, migration, recon]
status: complete
related:
- "[[projects/buzharovo/server1c]]"
- "[[projects/buzharovo/migration-prompt-2026-05-07]]"
- "[[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]"
---
# Бужарово 1С: разведка перед миграцией на HomeLab
**Дата:** 2026-05-07
**Метод:** WinRM (basic, через NetBird) с LXC 137 (openclaw) на Server1C 100.70.75.103. Read-only WMI/PowerShell/sqlcmd/ping.
**Цель:** собрать факты для плана миграции 1С с физического Server1C в Бужарово на HomeLab Proxmox 10.0.0.250.
---
## TL;DR
| Тема | Факт |
|---|---|
| Hardware | ASUS PRIME Z690M-PLUS D4 + i5-12400 (6c/12t) + 64GB DDR4 + 3×Samsung 980 PRO 500GB NVMe |
| OS | Windows Server 2012 R2 (build 9600), русский интерфейс |
| 1С | 8.3.27.1606, x64, ровно одна рабочая служба `1C:Enterprise 8.3 Server Agent (x86-64)` |
| MSSQL | SQL Server 2012 SP2 (11.2.5058) — **EOL с 2022-07-12** |
| Кластер 1С | 1 кластер `Server1C:1541` GUID `473f3f9e-...8700c7`, 4 инфобазы |
| Размер ИБ (на сервере) | 4 каталога в `srvinfo/reg_1541`: 7.3 / 4.8 / 15.2 / 12.0 GB (это **служебные данные кластера**, не SQL БД!) |
| Размер SQL БД | **НЕИЗВЕСТЕН**`dttb` не имеет SQL-логина, `sa`-пароль не подобран. Нужен у Олега. |
| Касса | **Сетевые ПК-кассы** `KASSA3` (192.168.1.18) и `KASSIRULICA2` (192.168.1.99). USB-фискальников на сервере НЕТ. |
| Лицензии 1С | HASP-ключа нет (служба `hasplms` Disabled), `.lic`-файлы не найдены → **программная онлайн-лицензия с привязкой к HWID** (риск!) |
| Активные сеансы | ~5 уникальных удалённых клиентов через 1С + терминальные RDP-юзеры |
| Сеть в офисе | 192.168.1.0/24, gw 192.168.1.1, 13 хостов |
| Канал | ping 1.1.1.1 = 3ms (отличный), ping 8.8.8.8 = 15ms |
| Latency до HomeLab (NetBird) | 9699ms стабильно |
| ИБП | **НЕТ** (`Win32_Battery` пуст) |
| Краши | 24 «грязных ребута» 04.05.2026 (Kernel-Power 41 + 6008), все Bug=0/Power=0 → отключение питания |
**Главные следствия для миграции:**
1. Касса не привязана к серверу физически → пробрасывать USB не нужно. Кассы перенаправят на новый IP 1С-сервера через NetBird.
2. Лицензия 1С — программная онлайн → перепривязка к новой VM сделается через 1С (PIN), но требует подготовки.
3. SQL БД на старой 2012 — нужен экспорт/импорт; новая VM может ставить MSSQL 2019/2022.
4. Нет ИБП + бытовая мать → крашы будут продолжаться, миграция оправдана.
---
## 1. Hardware и OS
### Платформа
```
Manufacturer: ASUSTeK COMPUTER INC.
Product: PRIME Z690M-PLUS D4
BIOS: AMI v1620, 2022-08-12
Computer model: ASUS / "System Product Name" (DIY-сборка, не серверный SKU)
RAM: 64 GB DDR4 (2 модуля по 32GB), без ECC
CPU: 12th Gen Intel(R) Core(TM) i5-12400 — 6 ядер / 12 потоков @ 2.5 GHz
Disks (NVMe): 3× Samsung SSD 980 PRO 500GB (NVMe), статус OK
SerialNumbers: 0025_38B2_31B4_8512 / _8508 / _84FE
```
**Вывод:** железо современное (12-е поколение Intel, NVMe), но **бытовое**:
- нет ECC RAM → необнаруженные битовые ошибки в памяти могут вызывать крашы
- нет IPMI/iLO/iDRAC → удалённого управления питанием нет
- нет ИБП в системе (`Win32_Battery` пуст)
- сертифицировано для Workstation, не для 24/7 server-нагрузки
### OS
```
OS: Microsoft Windows Server 2012 R2 Standard
Build: 9600 (6.3.9600)
PowerShell: 5.1.14409.1018
Локаль: Русская
Hostname: Server1C
Uptime: 3h 51min на момент разведки (последний boot 09:56:42 после краша 09:05)
```
**Срок поддержки:** Windows Server 2012 R2 EOL **2023-10-10**. Без расширенных Security Updates. Серьёзная причина для миграции на 2022/2025.
### Локальные пользователи
```
SERVER1C\dttb — основной admin (наш WinRM-юзер)
SERVER1C\Администратор — встроенный admin
SERVER1C\RemoteAdm — для удалённого доступа (AnyDesk?)
SERVER1C\АртемК — RDP-юзер (1С)
SERVER1C\ГорячевАЕ — RDP-юзер (1С)
SERVER1C\Павел — RDP-юзер (1С)
SERVER1C\ПальмановаН — RDP-юзер (1С)
SERVER1C\ФирсовС — RDP-юзер (1С)
SERVER1C\БольшаковаЕН — RDP-юзер, отключён
SERVER1C\Гость — встроенный, без пароля
```
**6 активных юзеров-сотрудников** работают через RDP. Это значит сейчас сервер **работает в терминальном режиме**: люди ходят по RDP в Server1C и запускают там 1С-клиент. Это упрощает миграцию по варианту A (терминальная VM на HomeLab).
### Удалённые доступы
- **RDP (3389)** — открыт публично на 185.13.47.2:3389 (видны established с 176.62.183.186, 176.215.183.37)
- **AnyDesk** — процесс запущен в системе
- **NetBird** — `netbird.exe` v0.68.3, FQDN `server1c.netbird.cloud`, IP 100.70.75.103/16, peers 31/58 connected
**RDP открыт в Интернет** — security risk. После миграции закрыть и оставить только NetBird.
---
## 2. 1С:Предприятие
### Версия и службы
```
Версия 1С: 1C:Предприятие 8 (x86-64) 8.3.27.1606
Издатель: 1С-Софт
Службы (Win32_Service):
1C:Enterprise 8.3 Server Agent — Stopped, Disabled (8.3.18, x86, бинарника нет)
1C:Enterprise 8.3 Server Agent (x86-64) — Running, Auto ★ рабочая
PATH: "C:\Program Files\1cv8\8.3.27.1606\bin\ragent.exe" -srvc -agent
-regport 1541 -port 1540 -range 1560:1591
-d "C:\Program Files\1cv8\srvinfo"
RagentServer_8327 — Stopped, Disabled (orphan)
```
Конфликт служб уже решён 2026-04-16 (см. `projects/buzharovo/server1c.md`). Сейчас одна корректная служба + два Disabled-дубликата.
### Кластер и инфобазы
```
1cv8wsrv.lst:
cluster: 473f3f9e-4aea-43bc-ac45-ec98da8700c7
name: "Локальный кластер"
port: 1541
server: Server1C
```
Инфобазы (по содержимому `C:\Program Files\1cv8\srvinfo\reg_1541\`):
| GUID (короткий) | Размер служебных данных |
|---|---|
| 00d417ca | 7 355 MB |
| 426d93c8 | 4 793 MB |
| 688e50c3 | **15 178 MB** (самая большая) |
| 9e258b8f | 11 953 MB |
| **Итого** | **~39.3 GB** |
⚠ Это **не размер SQL БД**, а служебные данные кластера 1С (полнотекстовые индексы `1Cv8FTxt`, журналы, кэш). Реальный размер БД в SQL не получен (см. секцию 3).
Файла `1CV8Reg.lst` в корне `reg_1541` нет — только `1CV8Clst.lst` (3962 байта, обновляется каждую секунду — это live-state кластера).
**Имена инфобаз → ⚠ ПРОБЕЛ:** только GUID. Нужно либо узнать через рабочий `rac.exe` (rmngr-loop ломает), либо спросить у Олега, либо посмотреть подключения юзеров через 1С.
### Активная нагрузка
```
ragent PID=4048 CPU= 19s WS= 94 MB Threads=44 # service master
rmngr PID=3876 CPU= 7421s WS= 378 MB Threads=104 # cluster manager — high CPU (rmngr-loop)
rphost PID=2884 CPU= 1056s WS=1827 MB Threads=60 # working process
rphost connections:
Established: 26
Unique remote: 5 → ~5 активных удалённых клиентов сейчас
Listening on: 1540 (rmngr), 1541 (regport), 1560 (rphost extra)
Внешние подключения (не localhost):
192.168.1.18:12228 → :1560 (KASSA3 — постоянный коннект к 1С!)
```
**rmngr CPU=7421s за uptime 3h51min** = `7421/(3*3600+51*60) ≈ 53.4%` среднего одного ядра. Это **активный rmngr-loop**, рецепт лечения через `Restart-Service` уже задокументирован (см. `projects/buzharovo/server1c.md`).
### Лицензии 1С — ⚠ КРИТИЧНО
```
HASP/Sentinel hardware-ключ: Сервис hasplms — Stopped, Disabled
USB HASP/SafeNet/Aladdin устройств нет
Программные .lic файлы:
C:\Users\**\*.lic — не найдено
C:\ProgramData\1C\** — папки license нет
C:\Program Files\1cv8\srvinfo\**\*.lic — не найдено
Реестр:
HKLM:\SOFTWARE\1C — нет
HKLM:\SOFTWARE\Wow6432Node\1C — нет
```
**Гипотеза:** лицензия 1С**программная с активацией через 1С (PIN-код)**, привязанная к HWID (CPU/мать/диск). Это значит:
- При переносе на новую VM лицензия **отвалится** → нужен повторный ввод PIN или резервный комплект пинкодов
- **Комплект пинкодов** хранится в личном кабинете 1С-Партнёра / у Олега — **нужно убедиться что есть доступ к пинкодам**
**Альтернативная гипотеза:** лицензия в облачном сервисе ИТС/КОРП (Activator) — тогда привязка через интернет, миграция проще.
**Action item:** уточнить у Олега, как активирована лицензия 1С и есть ли резервные пинкоды/доступ к ЛК 1С.
---
## 3. MSSQL Server
### Версия
```
Microsoft SQL Server 2012 (64-бит, русская версия)
Build: 11.2.5058.0 (SP2 + KB2958429)
Instance: MSSQL11.MSSQLSERVER (default)
Tools: SQL Server 2012 Management Studio (x64+x86)
SQL Server 2008 Object Management Tools (legacy)
Службы:
MSSQLSERVER — Running, Automatic
SQLBrowser — Stopped, Disabled
```
**Mainstream support EOL: 2017-07-11. Extended support EOL: 2022-07-12.** Без security updates 4-й год.
### Listening
```
TCP listening:
0.0.0.0:1433 ← MSSQL (на всех интерфейсах, включая 100.70.75.103!)
0.0.0.0:1540 ← 1С rmngr
0.0.0.0:1541 ← 1С regport (где живёт кластер)
0.0.0.0:1560 ← 1С rphost
```
**MSSQL слушает на NetBird-IP** (100.70.75.103:1433) — то есть из любого NetBird-пира можно попытаться подключиться к SQL. Не критично пока пароль `sa` не известен, но при миграции нужно ограничить.
### БД 1С — ⚠ ПРОБЕЛ
SQL Auth не получили:
```
Win Auth (SERVER1C\dttb): Login failed (нет SQL-логина)
sa без пароля: Login failed
sa / 1qaz!QAZ: Login failed
sa / Sa12345: Login failed
```
Файлы `*.mdf` / `*.ldf` через `Get-ChildItem -Recurse C:\,D:\,E:\` не нашлись за 50 секунд — либо ACL блокирует, либо они в нестандартном месте, либо файлы 1С хранятся в файловом, а не SQL формате (маловероятно для версии 8.3 с MSSQL-инстансом).
**Action item:** получить от Олега `sa`-пароль (или создать SQL-логин для `dttb`). Без этого размер БД и план бэкапа неполный.
### SQL Backup история — ПРОБЕЛ (тот же auth-issue)
---
## 4. Касса и фискализация
**Установленный софт (поиск по реестру uninstall):**
```
Из паттерна 'Атол|Штрих|Atol|Shtrih|Evotor|Касс|Drv|Fiscal|ОФД|Меркурий':
→ НИЧЕГО не установлено
Sentinel LDK License Manager — есть служба (Disabled), но это для других программ
```
**USB-устройства (Win32_PnPEntity, классы Ports/USB/HIDClass):**
```
HID-compliant vendor-defined device (Asus mobo HID)
Microsoft ACPI/UEFI/SMBIOS интерфейсы
Microsoft IPv4/IPv6 Transition Adapter Bus
Microsoft XPS Document Writer
Адаптеры 6to4 / ISATAP
→ Ни одного USB-фискальника, COM-порта (кроме материнского COM1), драйвера ККТ.
```
**Реестр касс/фискальников:**
```
HKLM:\SOFTWARE\Atol — нет
HKLM:\SOFTWARE\Shtrih-M — нет
HKLM:\SOFTWARE\Drv — нет
HKLM:\SOFTWARE\1C\Драйвер ККТ — нет
HKCR\AddIn.DrvFR — нет
```
**ARP-таблица 192.168.1.0/24:**
```
192.168.1.1 — gateway (router)
192.168.1.2 — ?
192.168.1.3 — ?
192.168.1.4 — ?
192.168.1.18 — KASSA3 ★ касса 1
192.168.1.53 — DESKTOP-JSS8L05 рабочий ПК
192.168.1.99 — KASSIRULICA2 ★ касса 2
192.168.1.127 — ?
192.168.1.139 — Nadezhda рабочий ПК
192.168.1.200 — ?
192.168.1.249 — Server1C (сам)
```
**Активный TCP в момент разведки:**
```
192.168.1.18:12228 ←→ Server1C:1560 (rphost) ESTABLISHED
```
### Вывод
**Кассы НЕ привязаны к серверу через USB.** Это **отдельные ПК-кассы** в локальной сети:
- `KASSA3` (192.168.1.18) — активно общается с 1С на rphost-порту 1560 (это значит запущена 1С на самой кассе ИЛИ внешняя компонента 1С DCOM)
- `KASSIRULICA2` (192.168.1.99) — вероятно вторая касса, не активна в момент разведки
**Это огромный плюс для миграции** — серверу не нужно физически передавать USB-устройства. Касса продолжает работать локально на своём ПК, а к 1С обращается по сети. После миграции достаточно изменить IP/имя сервера 1С в её настройках на новый адрес (через NetBird или публичный IP HomeLab).
**Не выяснено:** какое ПО на самих ПК-кассах (1С Розница? собственная программа? драйвер какого ККТ?). Это нужно увидеть на месте — уточнить у Олега или удалёнкой через RDP/AnyDesk на 192.168.1.18.
---
## 5. Сеть и провайдер
### LAN
```
Description: Семейство адаптеров Realtek PCIe GBE
IP: 192.168.1.249/24
Gateway: 192.168.1.1
DNS: 192.168.1.1
MAC: 00:E0:4C:68:9E:34
IPv6: fe80::2d5c:849d:c9ad:3409 (link-local)
```
13 хостов в подсети (см. ARP выше) — это весь офис.
### Канал
```
ping 1.1.1.1: 3 ms ← очень близкий апстрим у провайдера
ping 8.8.8.8: 15 ms
ping LXC 137 (NetBird HomeLab): 9699 ms
Внешний IP: api.ipify.org timeout — определить не удалось
(либо firewall блокирует ipify, либо канал в момент проверки моргнул)
```
**Action item:** уточнить у Олега провайдера (предположительно местный сельский WISP или РТК), скорость download/upload, наличие резервного канала и тип последней мили.
### NetBird
```
Daemon version: 0.68.3
Profile: default
FQDN: server1c.netbird.cloud
NetBird IP: 100.70.75.103/16
Management: Connected
Signal: Connected
Relays: 1/4 Available
Peers count: 31/58 Connected
```
NetBird работает стабильно, RTT до HomeLab 96-99ms.
---
## 6. Безопасность сервера
```
Антивирус: НЕ установлен (Kaspersky/Defender/ESET/etc — пусто)
Windows Updates: не проверяли явно, но Win 2012 R2 EOL уже с 2023
Public RDP: ОТКРЫТ на 185.13.47.2:3389
Активные RDP login (4624, 7 дней):
2026-05-07 09:53 SERVER1C\dttb from 176.62.183.186
2026-05-07 09:53 SERVER1C\dttb from 176.62.183.186 (sweb hosting? — наш rclone?)
SQL Server: 0.0.0.0:1433 (доступен по NetBird, не только localhost)
AnyDesk: запущен (parallel remote channel, без аудита)
```
**Привести в порядок при миграции:**
- Закрыть RDP в Интернет, оставить только через NetBird
- Решить: AnyDesk нужен или нет (двойной канал = двойной риск)
- MSSQL bind на 127.0.0.1 + явный TCP-route через NetBird, не на 0.0.0.0
- Поставить Defender или другой АВ
- Включить регулярные Win Updates (если новая VM на 2022/2025 — само собой)
---
## 7. Краши — подтверждённый паттерн
Из v2-разведки за последние 30 дней:
**Kernel-Power 41 (грязные ребуты):**
- 2026-05-07 09:07 (1 раз)
- **2026-05-04: 24 раза** между 08:36 и 12:13 (!!) — катастрофа дня
- 2026-05-03: 2 раза (08:40, 09:27)
- 2026-05-02: 1 раз (08:41)
- 2026-05-01: 1 раз (08:34)
- 2026-04-30: 2 раза (11:56, 11:59)
Все события: `BugcheckCode=0`, `PowerButtonTimestamp=0`, `SleepInProgress=False` → классическое **отключение питания / brownout**, не BSOD, не overheating, не sleep.
**EventID 6008 (unexpected shutdown)** идут парой к каждому Kernel-Power 41 — подтверждает что система не успевала корректно завершиться.
**Концентрация во времени:** утренние крашы 8:3012:00 (рабочее время в Бужарово) → совпадает с тем что нагрузка на сельскую сеть растёт утром (включаются плиты/обогреватели/насосы).
Подтверждение что миграция нужна.
---
## Открытые вопросы для Олега (action items)
| # | Вопрос | Зачем |
|---|---|---|
| 1 | `sa`-пароль MSSQL? Или создать SQL-login для миграции? | Размер БД, бэкап, миграция данных |
| 2 | Лицензия 1С: программная или ключ? Где пинкоды для перепривязки? | Активировать на новой VM |
| 3 | Имена 4 инфобаз (по GUID): что в `00d417ca`, `426d93c8`, `688e50c3`, `9e258b8f`? | Маппинг при миграции |
| 4 | Что за ПО на KASSA3 / KASSIRULICA2? (драйвер ККТ, 1С Розница, собственный софт?) | Подтверждение совместимости |
| 5 | Провайдер в Бужарово, скорость канала, резервный канал? | Оценка устойчивости RDP/NetBird |
| 6 | Окно простоя для миграции (вечер пятницы? выходные?) | Планирование cutover |
| 7 | Бюджет на ИБП и на сетевое железо в Бужарово? | Альтернативно — починить «на месте», а не мигрировать |
| 8 | AnyDesk нужен в новой схеме или убираем? | Сужение attack surface |
---
## Дополнительно собранные артефакты (на LXC 137)
- `/tmp/recon_server1c.py` — v1 (оригинальный)
- `/tmp/recon_v2.py`, `/tmp/recon_v3.py`, `/tmp/recon_v4b.py`, `/tmp/recon_v5.py` — последовательные итерации
- Все логи v1v5 на Mac в `/tmp/recon_*_output.txt` (на момент сессии)
---
См. далее: `decisions/2026-05-07-buzharovo-migration-plan.md`.

60
decisions/2026-05-08-buzharovo-1c-licensing-options.md Normal file
View File

@@ -0,0 +1,60 @@
---
date: 2026-05-08
type: decision
status: draft
tags: [buzharovo, 1c, licensing, plan]
related:
- "[[decisions/2026-05-07-buzharovo-recon]]"
- "[[decisions/2026-05-07-buzharovo-migration-plan]]"
---
# Бужарово 1С — варианты легализации
## Контекст
На Server1C в Бужарово установлена **пиратская 1С** (через patches20 patcher — модифицирован `frame.dll`, подменён `techsys.dll`). Дистрибутив 1С 8.3.27.1606 оригинальный (LLC 1C-Soft signed). Подробности audit'а`decisions/2026-05-07-buzharovo-recon.md`.
Реальный масштаб использования (уточнено 2026-05-08):
- **1 рабочая инфобаза** — RitmUl (на платформе **1С:Розница**, ~3.8 GB)
- **5 одновременных юзеров** (бухгалтерия + кассиры суммарно)
- Маркировка товаров (Честный знак) — **в скором времени обязательна**
- 2 ПК-кассы: KASSA3 (192.168.1.18), KASSIRULICA2 (192.168.1.99)
## Варианты (цены 2026)
### A. Файловая 1С (рекомендую)
| Позиция | Цена |
|---|---|
| Клиентские ПРОФ на 5 мест | 27 400 ₽ |
| 1С:Розница ПРОФ (если ещё не куплена) | 22 000 ₽ |
| 1С:ИТС ПРОФ — год (обязательно для маркировки) | ~12 000 ₽/год |
| ЭДО (Контур.ЭДО / СБИС / Такском) | 36-50 000 ₽/год |
| КЭП для оператора | 2-5 000 ₽/год |
| **Первый год** | **~80-100 000 ₽** |
| **Со 2-го года** | **~50-60 000 ₽/год** |
**Плюсы:** не нужна серверная 1С (-127k), не нужен MSSQL. 5 юзеров файловая отлично тянет. Размер 3.8 GB далеко от лимита (~10-15 GB).
### B. Клиент-серверная (старый паттерн)
+126 800 ₽ к варианту A на 1С Server PROF (x86-64). **Не оправдано** на масштабе 5 юзеров и 3.8 GB БД.
### C. 1С Облако (1С:Fresh)
~2 000 ₽/мес × 5 = 10 000 ₽/мес = 120 000 ₽/год. Без локального сервера, поддержка от 1С. На длинной дистанции дороже A.
### D. Программа «1С:Старт» для МСП
До 50% скидка от партнёра в регионе. Может сделать вариант A за ~50-60k ₽ в первый год. **Стоит уточнить у местного партнёра** (тот же кто RitmUl делал в Ульяновске?).
## Кассы и маркировка
- Кассы должны быть **ФФД 1.2** — проверить через X-отчёт на каждой
- Если ФФД 1.05 — перепрошивка ~3-5k ₽ × устройство, либо замена
- После обновления через ИТС в 1С:Розница появится поддержка Честного знака
## Что НЕ нужно
- ❌ Server PROF 1С (126 800 ₽) — лишний для масштаба
- ❌ MSSQL Standard — файловая ИБ не использует SQL
- ❌ 1С:Бухгалтерия отдельно — Accounting инфобаза не используется по словам Олега
## Action items
1. Зайти на **portal.1c.ru** под учёткой организации — посмотреть существующие покупки лицензий
2. Связаться с **местным 1С-партнёром** (Ульяновск, RitmUl) — узнать про «1С:Старт»
3. **Проверить ФФД 1.2** на кассах
4. Уточнить какие категории товаров маркируются и **дедлайн** введения

75
decisions/2026-05-08-buzharovo-sql-native-backup.md Normal file
View File

@@ -0,0 +1,75 @@
---
date: 2026-05-08
type: decision
tags: [decision, buzharovo, 1c, backup, mssql, effector-saver]
---
# 2026-05-08: Бэкап Бужарово 1С — переход с Effector Saver DT на native MS SQL Backup
## Контекст
Вечером 2026-05-08, после починки rmngr-loop, регулярная задача `Бэкап 1Cv8` в Effector Saver Free 4.8/2 на `server1c.netbird.cloud` (Win 2012 R2, MSSQL 2012 SP4, 1С 8.3.27.1606) **отказывалась завершаться успешно**. Шесть подряд запусков (19:51 → 22:21) падали с одной и той же связкой ошибок:
1. `HRESULT=800401F3``V83.ComConnector` не зарегистрирован → Olег зарегистрировал через UI Effector Saver, переключился на 64-bit
2. `HRESULT=80004005` — "Администратор кластера не аутентифицирован" — у кластера 1С есть проверка авторизации, но **в кластере нет ни одного admin'а**, а добавить нельзя:
- В Серверной консоли 1С: `Локальный кластер → Администраторы` показывает количество=0, форма "Новый администратор" заполнена, но при OK **просит логин/пароль и не принимает agent-уровневый admin** (создан Olегом отдельно)
- Через COM `V83.COMConnector`: `AuthenticateAgent('admin', '1qaz!QAZ')` проходит, но `RegClusterAdmin` падает "пользователь не выполнил аутентификацию для требуемой операции" (chicken-and-egg: для создания первого cluster admin нужен уже cluster admin)
- Через `rac` с `--agent-user`: cluster operations не принимают agent-уровневую аутентификацию (design choice 1С)
3. `Ошибка исключительной блокировки информационной базы` — даже без cluster admin'а Effector Saver продолжает выгрузку, но не может получить эксклюзив, потому что в БД активные сессии. Особенно "вечная" сессия `КулябинПИ sid=4514, начат 12:55:42` — после моего рестарта службы 1С в 19:30 и последующих SQL `KILL` сессий, она **раз за разом возвращается** (вероятно, реально открытый где-то тонкий клиент Павла Ивановича + persistent state в `1CV8Clst.lst`).
## Что пробовали и почему не сработало
| Попытка | Результат |
|---|---|
| `regsvr32` x64 `comcntr.dll` | ✅ COM зарегистрирован, переключение Effector Saver на 64-bit убрало `800401F3` |
| `Restart-Service '1C:Enterprise 8.3 Server Agent'` | ✅ rmngr вылечен, но session 4514 в реестре кластера **persists** между рестартами |
| `KILL` SQL-сессий через `sa/Qwer1122334400` | ✅ временно (sess=0, locks=0), но 1С rphost восстанавливает соединения за 1-2 мин и сессия 4514 reanimates |
| `rac cluster admin register` без auth | ❌ "оператор не существует" |
| `RegClusterAdmin` через COM с `AuthenticateAgent` | ❌ "пользователь не аутентифицирован для требуемой операции" |
| GUI Серверной консоли 1С — добавить cluster admin | ❌ форма не сохраняет, требует cluster auth (которой нет) |
Тупик: **в кластере БД 1С нет cluster admin'а, и зарегистрировать первого нельзя ни через GUI, ни через rac, ни через COM.** Возможный единственный путь — обнулить `srvinfo\reg_1541\1CV8Clst.lst` целиком (потеря и админов, и регистрации ИБ — нужна перерегистрация ИБ с SQL params; рискованно).
## Решение: native MS SQL Backup
Effector Saver делает **DT-выгрузку через 1С Конфигуратор** (`1cv8.exe DESIGNER /DumpIB`), которая требует эксклюзив на ИБ. Это исторический способ для **файловых** ИБ. Для **клиент-серверных** ИБ на MS SQL правильный путь — **`BACKUP DATABASE` на уровне SQL Server**:
-**Online backup** — снимает копию во время работы, не требует эксклюзива
-Не зависит от 1С-кластера, cluster admin'а, активных сессий
-С `WITH COMPRESSION` файл сжимается ~3:1 (3.8 GB → 1.1 GB)
- ✅ Быстрее — у нас 2 секунды на 3.8 GB БД
- ✅ Восстанавливается одним запросом `RESTORE DATABASE`
Реализация:
```sql
BACKUP DATABASE [RitmUl]
TO DISK = N'C:\backup\RitmUl_<ts>.bak'
WITH FORMAT, INIT, NAME = N'RitmUl-Full',
SKIP, NOREWIND, NOUNLOAD, COMPRESSION, COPY_ONLY,
STATS = 5
```
`COPY_ONLY` — чтобы наш бэкап не ломал log chain если потом настроят differential/log backups.
Запускается через WinRM `python3 + System.Data.SqlClient` с LXC 139 `severny-les` (бот). Storage: `C:\backup\` на server1c (374 GB свободно).
## Артефакт
- **Первый успешный бэкап 2026-05-08:** `C:\backup\RitmUl_2026-05-08_2225.bak` (1105 MB)
- **Скрипт:** `/root/clawd/scripts/sql_native_backup.py` на LXC 139
## TODO (после возвращения Olега из Египта)
1. **Автоматизировать** — добавить cron на LXC 139 `severny-les`: каждый день в 03:00 МСК запускать `sql_native_backup.py`, ротировать (хранить N дней). Алерт в Telegram-группу при сбое.
2. **Ротация и трансфер** — настроить копирование `.bak` файлов на внешний носитель (Nextcloud / S3 / Gitea-LFS).
3. **Тест восстановления** — раз в N дней автоматически развернуть бэкап в тестовую БД и проверить целостность.
4. **Effector Saver** оставить как есть, не чинить (чинить cluster admin = разбирать `1CV8Clst.lst` бинарник, риск убить ИБ). Можно отключить регулярную задачу `Бэкап 1Cv8` в Effector Saver чтобы не плодились алерты "ошибка".
5. **TODO документировать** SQL creds в `projects/dttb/credentials.md` (см. блок Бужарово).
## Связанные
- [[projects/buzharovo/server1c]] — обновлён с SQL backup как новый канон
- [[projects/buzharovo/severny-les-bot]] — бот теперь умеет бэкапить через WinRM+SQL
- [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]] — про rmngr (отдельная история, починена)

77
decisions/2026-05-08-severny-les-bot-buzharovo.md Normal file
View File

@@ -0,0 +1,77 @@
---
date: 2026-05-08
type: decision
tags: [decision, buzharovo, bot, openclaw, watchdog, telegram]
---
# 2026-05-08: Северный лес — отдельный AI-ассистент + watchdog для server1c (Бужарово)
## Контекст
Олег уезжает в отпуск в Египет 2026-05-09 → 2026-05-22. На server1c (Бужарово, VDS 185.13.47.2 / NetBird 100.70.75.103) недавно (2026-05-07) был rmngr-loop, который лечится только `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` — ребут не помогает (см. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]).
Пока Олег в отпуске, нужно:
1. Чтобы кто-то узнавал когда сервер упал (Telegram-группа руководящего состава Северного леса);
2. Чтобы можно было дёрнуть восстановительное действие (`/approve restart_1c`) не дожидаясь возвращения Олега из Египта.
Через ~2 недели (после Египта) планируется миграция server1c с VDS на собственный сервер. Бот должен работать **до и после** миграции — поэтому он не на самом server1c, а на dttb-Proxmox через NetBird.
## Развилка: clawdbot vs openclaw vs другой watchdog
Рассматривались три варианта:
| Вариант | Плюсы | Минусы |
|---|---|---|
| **clawdbot** (как у [[projects/niikn/clawdbot-niikn|Максимки-Мауля]]) | Проверенный рецепт, проще | Старый стек, не обновляется. exec-approvals самописные. |
| **openclaw** (свежий стек 137) | Встроенный `exec-approvals.json` whitelist для shell-команд. Plugins, skills, делегирование на Opus 4.7 через Max. Свежий, активная разработка. | Жёсткая schema, есть тонкости (bonjour, IPv6, FakeIP DNS) — но они уже разобраны на 137. |
| **Голый watchdog без AI** | Минимум зависимостей. | Нет диагностики "почему упало". Невозможно дёрнуть `/restart_1c` через `/approve` — только ручной WinRM. |
**Решение:** **openclaw** — встроенный whitelist для shell-команд (`exec-approvals.json`) — это прямо то что нужно для `/approve` flow. Плюс Опус 4.7 через Max.
## Архитектура
**Изоляция от Максимки (LXC 137):** не подвешиваем как доп.канал на 137 — если openclaw на 137 упадёт (а это бывает: bonjour, FakeIP, Kiro 402), упадут и алерты Бужарово. Для критичной мониторинг-задачи нужен **отдельный** инстанс.
**Хост:** новый LXC 139 на dttb (10.0.0.240, NetBird 100.70.212.78, Ubuntu 24.04, 2c/4GB/10GB).
**Два слоя независимых:**
1. **buzharovo-watchdog** — bash + curl→TG bot API напрямую, systemd timer 60s. **Не зависит от openclaw.** Если AI-часть упала, алерт всё равно дойдёт.
2. **openclaw 2026.5.7** — AI-помощник для диагностики и `/approve`-action'ов через WinRM.
**Алерт-уровни:**
- `OK` — всё доступно;
- `WARNING` — часть проверок упала;
- `WARNING_NETBIRD` — NetBird до server1c лежит, публично сервер виден;
- `CRITICAL` — сервер не отвечает ни публично, ни через NetBird.
Антиспам: алерт шлётся **только при смене уровня**, состояние в `/var/lib/severny-les/state.json`.
**WinRM-actions с подтверждением:**
- read-only без approval (`/status`, `/check_1c`, `/check_rmngr`);
- destructive с обязательным `/approve` от Олега `1292155421` (`/restart_1c`, `/kill_orphan_ragent`);
- ребута сервера НЕ даём (по опыту 2026-05-07 не помогает rmngr-loop).
## Превентивные правки на старте (уроки 137)
Все три "ловушки openclaw" пропатчены сразу:
1. `plugins.entries.bonjour.enabled = false` — против mDNS crash-loop (см. [[projects/dttb/openclaw#Crash-loop-каждые-40-сек]]).
2. `pct set 139 --nameserver '1.1.1.1 8.8.8.8'` + правка `/etc/resolv.conf` — против FakeIP DNS от 10.0.0.1.
3. `NODE_OPTIONS=--dns-result-order=ipv4first` в systemd unit — против IPv6-сбоев Telegram API.
systemd unit для openclaw — **system-level** (`/etc/systemd/system/openclaw-gateway.service`), а не `--user` как на 137. В LXC без user-session `systemctl --user` не работает (`Failed to connect to bus`).
## Что осталось сделать после возвращения Олега
1. **NetBird ACL** `severny-les``server1c` (порт 5985 TCP минимум) — без него WinRM-actions не работают, watchdog мониторит только публичные проверки.
2. **Добавить @bz_sl_bot в TG-группу** руководящего состава, узнать `chat_id`, обновить `/etc/severny-les/watchdog.env` `BZ_TG_CHAT` и `openclaw.json` `groupAllowFrom`.
3. После миграции server1c на свой сервер — обновить IP в `/root/clawd/INFRASTRUCTURE.md` и в `buzharovo-watchdog.sh`.
## Артефакты
- LXC 139 `severny-les` (10.0.0.240)
- TG bot `@bz_sl_bot` (token `8322860033:...`)
- Справочник: [[projects/buzharovo/severny-les-bot]]
- Persona: `/root/clawd/{IDENTITY,INFRASTRUCTURE,USER,SOUL,TOOLS,MEMORY,HEARTBEAT}.md`
- Скрипты: `/root/clawd/scripts/check_buzharovo.sh`, `winrm_lib.py`, `check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `kill_orphan_ragent.py`, `heartbeat.sh`
- Watchdog: `/usr/local/bin/buzharovo-watchdog.sh` + `.service` + `.timer` (60s); `netbird-watchdog` clone с 137 (2 мин)
- Whitelist: `/root/.openclaw/exec-approvals.json`

84
decisions/2026-05-12-sergey-instagram-iphone-fakeip.md Normal file
View File

@@ -0,0 +1,84 @@
---
date: 2026-05-12
type: decision
status: applied
tags: [openwrt, podkop, fakeip, amneziawg, iphone, doh, instagram, sergey]
aliases: [Sergey Instagram, OpenWrt_Sergey Instagram, iPhone DoH FakeIP]
---
# 2026-05-12 — Sergey: «Инста не работает» — диагноз и фикс
## Кейс
Сергей (объект [[../projects/sergey/README|OpenWrt_Sergey]], Одинцово, Cudy TR3000 v1, 100.70.110.164) пожаловался Олегу — на телефоне **не открывается Instagram** через его роутер. Стек обхода: podkop v0.7.14 + sing-box 1.12.12 + AmneziaWG (kmod) до VLESS-Singapore endpoint `202.71.12.186`, community_lists = `russia_inside`, `telegram`, `meta`.
## Что проверил (на роутере)
| Проверка | Результат |
|---|---|
| AmneziaWG `awg0` handshake | свежий (1:37 назад), 11.5 GiB rx |
| Sing-box процесс | running PID 11491 |
| nft mangle + tproxy 127.0.0.1:1602 | 108k TCP / 2598 UDP пакетов прошли |
| FakeIP для `www.instagram.com` через `192.168.1.1` (dnsmasq роутера) | `198.18.0.17` ✅ |
| FakeIP для `i.instagram.com` | `198.18.0.6` ✅ |
| FakeIP для `scontent.cdninstagram.com` | `198.18.0.27` ✅ |
| `curl --interface awg0 https://www.instagram.com/` с роутера | HTTP/2 200 ✅ |
| WAN exit IP без VPN | `217.73.118.172` (NetByNet, РФ) |
| WAN exit IP через `awg0` | `202.71.12.186` (Singapore) ✅ |
| `podkop list_update` | прошёл 09:13 сегодня без ошибок |
| DNS 8.8.8.8 / 1.1.1.1 не режется провайдером | подтверждено nslookup'ом |
**На стороне роутера всё исправно.** Никаких правок инфраструктуры не нужно.
## Реальная причина
В DHCP-leases роутера активен ровно **один клиент**`192.168.1.102`, MAC `2e:7f:8c:ce:07:8a` (рандомизированный — бит `02` в первом октете), т.е. iPhone/Android с приватным Wi-Fi-MAC. Все маркеры указывают на **iPhone, который обходит роутерный DNS**:
1. **iCloud Private Relay** — целиком тоннелирует трафик Safari + системные DNS через Apple-серверы (`mask.icloud.com`), минуя локальный dnsmasq. FakeIP не успевает подменить IP.
2. **Encrypted DNS** в Safari / приложении Instagram / Chrome (DoH к `1.1.1.1:443` или `dns.google:443` по TCP) — те же симптомы.
3. **Кастомный DNS-профиль** в настройках Wi-Fi сети — устройство просто игнорирует роутерный DNS.
В любом из трёх случаев клиент получает **реальный IP** `157.240.x.x` от внешнего DoH-резолвера, и DPI провайдера (`NetByNet`) блочит TLS handshake по SNI `instagram.com`.
## Фикс — клиент-сайд (приоритет)
Скажи Сергею выключить на iPhone в таком порядке:
1. **Настройки → имя сверху → iCloud → Частный узел → ВЫКЛ**
2. **Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически**
3. **Safari → Конфиденциальность и безопасность → Скрывать IP-адрес → ВЫКЛ**
4. Если ходит через **Chrome**: `chrome://settings/security` → DNS через HTTPS → **ВЫКЛ**
5. Wi-Fi выкл/вкл на телефоне (сбросить кэш DNS клиента)
Этих действий достаточно в **80%+ случаев** для подобных сетапов.
## Фикс — роутер-сайд (если клиентский путь не помог)
В podkop v0.7.14 **нет встроенной опции** "force DNS / block DoH" — делать вручную через nft. Опционально — у домашнего OpenWrt Олега это уже сделано (`projects/dttb/openwrt-router.md`: «DNS Hijack: перехватывает порт 53 → 10.0.0.1»).
Шаги для Сергея (если потребуется):
```sh
# 1) Принудительный редирект исходящего DNS:53 на роутер
nft 'add rule inet fw4 dstnat iifname "br-lan" meta l4proto { tcp, udp } th dport 53 dnat ip to 192.168.1.1:53'
# 2) Drop DoH/DoT к публичным резолверам (TCP/443 + TCP/853)
nft 'add set inet fw4 doh_servers { type ipv4_addr; flags interval; elements = { 1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4, 9.9.9.9, 149.112.112.112 } }'
nft 'add rule inet fw4 forward iifname "br-lan" ip daddr @doh_servers tcp dport { 443, 853 } reject with tcp reset'
# 3) Закрепить в /etc/firewall.user или uci
```
Также можно поднять AdGuard Home (как у Олега в HomeLab) — он по умолчанию форсит свой `:53` и фильтрует DoH-домены. Сейчас у Сергея AGH **не установлен** — стек чисто `dnsmasq → 127.0.0.42 (sing-box) → upstream`.
## Что НЕ является проблемой
- **Шум в логе sing-box** — `ERROR ... {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net: empty result`. Это Meta NetSeer probes (anti-CDN-detection), штатное поведение Meta. Игнорировать.
- **`check_fakeip` показывает 217.73.118.172** — это российский WAN IP роутера. Тестовый домен (`ip.podkop.fyi`) не в community-listах, идёт direct через WAN — это норма для проверки.
## Связанное
- [[../projects/sergey/README]] — полный recon роутера
- [[../snippets/podkop-fakeip-diagnostics]] — типовой playbook для диагностики любого подкоп-роутера
- [[../projects/dttb/openwrt-router]] — домашний OpenWrt Олега, где DNS-hijack уже включён
- [[2026-04-30-openwrt-homelab-agh-podkop-chain]] — стек AGH+podkop у Олега дома (как референс)

85
decisions/2026-05-14-buzharovo-watchdog-public-only.md Normal file
View File

@@ -0,0 +1,85 @@
---
date: 2026-05-14
type: decision
tags: [decision, buzharovo, watchdog, netbird, monitoring, openclaw]
---
# 2026-05-14: Watchdog Бужарово — только публичный канал, NetBird вынесен из alert level
## Контекст
Олег в Египте, прислал что бот "сыпал ошибками вчера, попросил отключить мониторинг". Разведка:
1. **Все сервисы на LXC 139 живы** (`openclaw-gateway`, `buzharovo-watchdog.timer`, `netbird-watchdog.timer`, `netbird.service``active+enabled`). Олег ничего не отключал.
2. **Watchdog v1 правильно держал `WARNING_NETBIRD`** (последний алерт 13 мая ~19:32 МСК), антиспам корректный — повторных алертов не слал.
3. **Истинный источник "ошибок"**`openclaw primary model = omniroute/cc/claude-opus-4-7` упёрся в лимит Max-подписки:
```
omniroute (cc/claude-opus-4-7) returned a billing error — your API key has run out of credits
400 [400]: You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
```
Каждое сообщение в боте + каждое ночное `memory-core dreaming` (cron 03:00) → billing 400 → failover на `kr/claude-sonnet-4.5`. На клиенте часть запросов могла отдаться с ошибкой раньше чем failover отработал.
4. **Server1C NetBird daemon (Windows)** регулярно flap'ает, `last_seen=2026-05-13T08:24:26` — > 25 часов вне mesh, хотя сервер сам публично жив (ping + RDP 3389 OK).
## Решения
### Фикс 1: primary model → free Sonnet 4.5
`/root/.openclaw/openclaw.json`:
```json
{
"primary": "omniroute/kr/claude-sonnet-4.5",
"fallbacks": [
"omniroute/cc/claude-sonnet-4-6",
"omniroute/gh/claude-sonnet-4.5",
"omniroute/cc/claude-opus-4-7"
]
}
```
Hot-reload подхватился. Backup конфига — `/root/.openclaw/openclaw.json.bak.opus-billing-<ts>`.
**Возврат на Opus как primary — только после пополнения Max** или подключения второго конектора в OmniRoute.
### Фикс 2: watchdog v2 — только публичный канал
Переписан `/usr/local/bin/buzharovo-watchdog.sh`. Логика alert-level **больше не учитывает NetBird-проверки**:
- `OK` — `ping 185.13.47.2` ✓ + `TCP 3389` (RDP) ✓
- `DEGRADED` — один из публичных упал
- `CRITICAL` — оба публичных упали
NetBird-уровень (`ping 100.70.75.103` + `TCP 5985`) **только логируется** в `state.json` (`ping_nb`, `winrm_nb`), но не меняет level и не порождает алерт.
При первом алерте в новую сессию (prev_level=INIT) добавляется пометка:
> _NetBird до сервера сейчас лежит — это известная регулярная проблема со стороны Windows-сервера, не влияет на работу 1С для пользователей. Watchdog проверяет только публичный канал._
**Почему так:** NetBird daemon на Server1C (Windows 2012 R2) теряет mesh-сессию регулярно (memory `feedback_netbird_watchdog`). Лечится `Restart-Service netbird` через RDP — но это ручная операция, и поток алертов из-за этого был шумом, а не сигналом. Сервер для пользователей в Бужарово при этом работает — 1С локально доступна.
**Что теряем:** WinRM-actions (`check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `sql_native_backup.py`) идут через NetBird (`100.70.75.103:5985`). Когда NetBird падает — эти actions недоступны. Бот в группе об этом честно скажет: "Не могу проверить состояние службы 1С — туннель до сервера временно лежит". Восстанавливается после `Restart-Service netbird` на server1c через RDP.
**Что НЕ теряем:** алерты о реально критичных событиях (сервер физически лёг публично, сеть провайдера упала, RDP закрылся).
## Деплой
```bash
pct push 139 wd.sh /usr/local/bin/buzharovo-watchdog.sh
chmod +x /usr/local/bin/buzharovo-watchdog.sh
chown root:root /usr/local/bin/buzharovo-watchdog.sh
echo "{}" > /var/lib/severny-les/state.json # force re-evaluate
# Manual run → level=OK, alert "Мониторинг включён" ушёл в группу
```
## Обновления в vault и persona
- `/root/clawd/MEMORY.md` на LXC 139 — добавлены уроки про Opus billing + watchdog v2
- [[projects/buzharovo/severny-les-bot]] — обновить ссылку на watchdog v2 (TODO)
- Этот decision-файл
## NetBird route 10.0.0.0/24 — попутно
Существующий route `Dom` (`cud7q73l0ubs73dr3gc0`) advertised через peer `pve 100.70.121.235 (Эстония)`, **disconnected**. Переключил routing peer на **`openclaw` (`d79s9g2fadhs739mihkg`)** через PUT `/api/routes/cud7q73l0ubs73dr3gc0`. Mac получил доступ к 10.0.0.0/24 через NetBird → openclaw → LAN.
## TODO (опционально, не сейчас)
- **Reverse SSH-туннель** server1c → severny-les для WinRM-actions без зависимости от NetBird. Server1C сам делает outbound SSH → LXC 139 пробрасывает 127.0.0.1:55985 → server1c:5985. WinRM-скрипты целятся в `localhost:55985`. Решает проблему "NetBird лёг — WinRM недоступен".
- **HTTPS WinRM (5986)** публично с certificate-pin'ом — альтернатива через интернет, но требует настройки SSL и хорошего firewall.
- **Ночной cron sql_native_backup.py** — автоматизация ежедневных бэкапов БД (TODO от 2026-05-08, см. соответствующий decision).

84
decisions/2026-05-20-amneziavpn-macos-v1-v2-incompat.md Normal file
View File

@@ -0,0 +1,84 @@
---
date: 2026-05-20
type: decision
tags: [vpn, amnezia, amneziawg, macos, finland, server, incompatibility]
status: open
severity: medium
---
# AmneziaVPN macOS-клиент несовместим с v1 AmneziaWG-сервером
## TL;DR
macOS-клиент AmneziaVPN (текущей версии на 2026-05) умеет только новый **AmneziaWG v2** handshake-формат. На **v1**-серверах (старые `amnezia-awg` контейнеры) — handshake silently дропается, клиент видит `ErrorCode 305 — Тайм-аут подключения к серверу`. iOS-клиент, Windows-клиент и Linux-kernel-module `wireguard-go-amneziawg` шлют в v1-совместимом формате — продолжают работать.
## Симптомы
Mac-клиент при попытке Connect:
- На v1-сервере: шлёт **только junk-преамбулу (96-байтовые UDP-пакеты)**, реальный handshake_init (148+ байт) не уходит. Таймаут 305.
- На v2-сервере: handshake проходит, туннель поднимается, всё работает.
В tcpdump на v1-сервере видно множество одинаковых 96-байтных UDP-пакетов от Mac-клиента и **ноль ответных**. На v2-сервере — пакеты разных размеров (handshake → data 1452 байт).
## Подтверждённые случаи (2026-05-20)
| Клиент | Сервер | Контейнер | Версия | Результат |
|---|---|---|---|---|
| Mac Олега | `78.17.4.225` (НИИКН) | `amnezia-awg2` | v2 | ✓ работает |
| Mac Олега | `202.71.12.186` (finland5870) | `amnezia-awg` (7 мес) | v1 | ✗ ErrorCode 305 |
| Mac Александра (Бенелюкс) | `202.71.12.186` | v1 | v1 | ✗ ErrorCode 305 |
| iPhone Александра | `202.71.12.186` | v1 | v1 | ✓ работает |
| Win 2012R2 1С Бужарово | `78.17.4.225` | v2 | v2 | ✓ работает |
| Cudy TR3000 (kernel-mod) | `202.71.12.186` | v1 | v1 | ✓ работает |
## Как опознать v1 vs v2 на сервере
```bash
ssh root@<server> 'docker ps | grep amnezia-awg'
```
- `amnezia-awg` — v1
- `amnezia-awg2` — v2
В `wg0.conf` v2-конфиг включает поля `I1..I5` (после `H1..H4`), в v1 — нет:
```bash
docker exec <amnezia-awg|amnezia-awg2> awk '/^\[Interface\]/,/^\[Peer\]/' /opt/amnezia/awg/wg0.conf
```
## Конфиги клиентов
В `vpn://`-ключе AmneziaPanel оба формата выглядят почти одинаково (поля `I1..I5` присутствуют пустыми и в v1-конфигах). Реальная привязка к версии — на стороне сервера + версия клиентского `wireguard-go-amneziawg`.
## Решение (выбрано Олегом)
**Не трогаем v1-сервер finland5870** — там 84 активных peer (iOS/Windows/Linux/kernel-WG), которые работают. Риск перевыпуска всех конфигов перевешивает пользу.
Mac-юзерам, кто жалуется на 305, выдаём:
- Конфиг от v2-сервера `78.17.4.225` (НИИКН), либо
- Конфиг от **любого** v2-сервера в инфре Олега.
Александру (Бенелюкс) — выпущен новый конфиг от НИИКН-сервера.
## Что не сделано (отложено)
- **Параллельный v2-контейнер на finland5870** на другом UDP-порту (например `37210`) — старые v1-клиенты продолжают на `37209`, новые/Mac — на v2 `37210`. Без вмешательства в текущий контейнер, риск минимальный. Откладывается пока не накопится критическая масса Mac-юзеров.
- **Полная миграция finland5870 v1 → v2** — массовый перевыпуск 84 конфигов. Только в плановое окно даунтайма.
## Диагностика для будущих случаев
Чтобы не разбирать с нуля, чек-лист:
1. **Mac жалуется на ErrorCode 305 или тайм-аут к AmneziaVPN.**
2. Проверь — **iOS-клиент / Windows-клиент того же пользователя на том же сервере работают?** Если да — гипотеза macOS-v1-баг сильно правдоподобна.
3. **Какая версия контейнера на сервере**`docker ps | grep amnezia` → если `amnezia-awg` (без `2`) — это v1. Если `amnezia-awg2` — v2.
4. Если v1 — выдай Mac-юзеру конфиг от v2-сервера. Не пытайся "починить" v1-контейнер.
## Снэпшот серверов на момент решения (2026-05-20)
- **finland5870.com** `202.71.12.186`: `amnezia-awg` (v1, создан ~2025-10), 84 peer, port 37209/udp. Используется как основной endpoint для роутерных podkop-туннелей: Бенелюкс, Сергей, Знаменское, НИИКН-роутер, Lipki, Михуринец и др.
- **finlandit5870.com** `78.17.4.225`: `amnezia-awg2` (v2, создан 2026-05-18), `amnezia-panel-web` (управляющая PHP-панель), полный VPN-стек (xray, shadowbox, socks5, mtproto, WA-proxy). Олег управляет конфигами отсюда через AmneziaApp.
## Связанные
- [[../projects/dttb/finland-hostkey-vps]] — карточка finland5870
- [[../projects/dttb/vpn-clients]] — клиентский реестр
- [[2026-05-20-benelux-compromise]] — параллельная история инцидента с роутером Бенелюкса

159
decisions/2026-05-20-benelux-compromise.md Normal file
View File

@@ -0,0 +1,159 @@
---
date: 2026-05-20
type: decision
tags: [security, incident, benelux, openwrt, ssh, firewall]
status: closed
severity: high
---
# Бенелюкс OpenWrt — взлом через SSH brute-force на WAN
## Что произошло
В ходе плановой проверки в **15:38 MSK** на `OpenWrt Benelux` (Cudy TR3000, NetBird `100.70.207.97`, WAN `45.143.21.60`) обнаружена активная компрометация:
- **LA = 4.0** на 4-ядерном MT7981, CPU 82% idle (нагрузка не на CPU, а на сеть+OOM-loop)
- **19 параллельных SSH-сессий** от чужих IP: `185.244.183.107` (RU), `51.77.53.0/24` и `51.38.148.97` (OVH FR), `108.181.123.93`, `51.75.55.2`
- Каждая сессия рассылала **спам через SMTP 25/465/587** на сотни IP (десятки соединений на момент анализа)
- Также параллельно — попытки на **Docker API 2375** (поиск открытых демонов для распространения)
- Cron `@reboot /tmp/.2424` (тело уже самоудалилось)
- `/root/.bash_history` и `.ash_history` отсутствуют — следы зачищены
## Вектор атаки
**SSH-сервер слушал на WAN (eth0)**, пароль `root:1qaz!QAZ` — общий по всей инфраструктуре. WAN IP `45.143.21.60` публичный → brute force с открытого интернета. После взлома атакующие держали постоянные авторизованные сессии и из своих shell-ов запускали спам напрямую.
> Ранняя гипотеза о malware-процессах под именами `systemd`/`sshd` оказалась ложной — это были обычные процессы атакующих в их собственных dropbear-shell. На OpenWrt нет ни systemd, ни sshd; имена `dropbear` в `netstat` — это родительские SSH-сессии злоумышленников.
## Что сделано (без ребута)
| Шаг | Команда / артефакт |
|---|---|
| 1. Заблокировать спам | `nft insert rule inet fw4 output oifname eth0 tcp dport {25,465,587,2375} drop` (+ `forward`) |
| 2. Заблокировать вход SSH с WAN | `nft insert rule inet fw4 input iifname eth0 tcp dport 22 drop` |
| 3. Убить 19 атакующих сессий | `kill -9` всех `dropbear` PID с не-NetBird foreign IP |
| 4. Положить ключ | `/etc/dropbear/authorized_keys` = mac-ed25519 (см. `~/.ssh/id_ed25519.pub`) |
| 5. Поменять пароль root | новый — в auto-memory (НЕ в vault) |
| 6. Удалить вредоносную крон-запись | `@reboot /tmp/.2424` вычищено, осталось только `13 9 * * * /usr/bin/podkop list_update` |
| 7. Persist firewall | `/etc/nftables.d/99-incident-20260520.nft` + `fw4 reload` |
После `fw4 reload` роутер автоматически ребутнулся (вероятно watchdog отреагировал на reload в момент OOM-loop). После ребута: правила подхватились из `/etc/nftables.d/`, ключ сработал, новый пароль активен, cron чистый.
## Результат
| Метрика | До | После |
|---|---|---|
| Load average | 4.04 | 0.15 |
| Free RAM | ~250 MB (с OOM-loop) | 307 MB available |
| Dropbear процессов | 21 | 2 (listener + моя сессия) |
| Outbound SMTP-соединений | 30+ | 0 |
| Counter `incident_block_in 22` | — | растёт (атакующие тыкаются) |
## Постоянные правила (`/etc/nftables.d/99-incident-20260520.nft`)
```nft
chain incident_block_in {
type filter hook input priority -100; policy accept;
iifname "eth0" tcp dport 22 counter drop comment "incident-20260520-no-ssh-from-wan"
}
chain incident_block_out {
type filter hook output priority -100; policy accept;
oifname "eth0" tcp dport { 25, 465, 587, 2375 } counter drop comment "incident-20260520-block-spam"
oifname "eth0" tcp dport 22 counter drop comment "incident-20260520-block-ssh-brute"
}
chain incident_block_fwd {
type filter hook forward priority -100; policy accept;
oifname "eth0" tcp dport { 25, 465, 587, 2375 } counter drop comment "incident-20260520-block-spam"
oifname "eth0" tcp dport 22 counter drop comment "incident-20260520-block-ssh-brute"
}
```
SSH доступ остался только через:
- LAN (`192.168.1.0/24`, `br-lan`)
- NetBird (`100.70.207.97`, `wt0`)
## Расширение масштаба: Unifi + NetBird-mesh
Бенелюкс — **не изолированный объект**. Cudy за время взлома имел два открытых вектора в чужие сети:
1. **LAN Бенелюкса (192.168.1.0/24)** — здесь живёт **Unifi-сегмент**: 3 AP/Switch (`70:a7:41:79:ef:29`, `70:a7:41:9a:9e:92`, `70:a7:41:c1:33:0a`). Атакующие, сидя на Cudy под root, имели L2 ко всей подсети — могли сниффить broadcasts, ARP, DHCP. К какому контроллеру эти устройства adopted — на момент расследования не выяснено: inform-трафика ни к LXC 116 НИИКН (`100.70.138.234`), ни к UDM-Pro Знаменского нет. Одно из устройств (`192.168.1.199`, hostname `Benelyuks`) стучится в `192.168.28.34:8381` — это IP не из NetBird, пакеты уходят в default-шлюз провайдера без ответа. Похоже на orphaned-сегмент, см. [[projects/benilux/README#unifi-сегмент-за-cudy]].
2. **NetBird-mesh через wt0** — Cudy получает по NetBird маршруты в:
- `10.0.0.0/24` (через openclaw — это вся домашняя dttb-инфра)
- `10.253.1.0/24` + `2.63.246.0/24` + `87.250.251.0/24` + `95.167.245.0/24` (через pve-LionART — ММФБ)
- `192.168.1.0/24` (через pve-niikn — НИИКН; конфликт с локальной подсетью)
- `192.168.2.0/24` (Переделки), `192.168.8.0/24`, `192.168.88.0/24`
Атакующие, имея root на Cudy с активным NetBird agent, теоретически могли достучаться до любого хоста в этих сетях. На практике для этого надо знать топологию (которой у них не было) и проводить активную разведку (не видно в коротких SMTP-сессиях). Но риск ненулевой — особенно для **LXC 116 unifi-controller** (`100.70.138.234:8443`) и **Proxmox НИИКН** (`pve-niikn 100.70.120.229`), которые видны напрямую.
**Что проверить отдельно** (не в этом фиксе):
- Логи Docker LXC 116 unifi-controller (на pve-niikn, `/opt/unifi/config/logs/`) на попытки входа / сессии с `100.70.207.97` за 2026-05-20 13:0015:45 MSK
- NetBird access policy для группы `OpenWRT VPN` — какие пиры/подсети разрешены этой группе
## Что НЕ сделано (на твоё решение)
1. **Полный wipe / sysupgrade -n.** Малварь была memory-resident (`/tmp/.2424` уже не существовало), бэкдоров на диске не найдено (find -mtime -7 чист в `/etc /lib /sbin /usr/sbin /opt`). Но 100% гарантии чистоты после взлома `root` без переустановки нет. Рекомендую перезалить роутер в течение недели в окно даунтайма.
2. **Жёсткое ограничение dropbear на интерфейсы.** Сейчас он слушает на всех (`0.0.0.0:22`), правило отбрасывает только `iifname eth0`. Можно дополнительно через `uci set dropbear.@dropbear[0].Interface=lan` ограничить bind. Не делал — риск разрыва.
3. **Audit прочих хостов с тем же паролем.** `1qaz!QAZ` фигурирует в инфраструктуре много где (Proxmox, Gitea-WebUI, NPM, Nextcloud, openclaw-LXC, server1c, MikroTik и др.). Также UDM-Pro использует похожий `1qaz!QAZ!QAZ`. **Если хоть один публично-доступный хост с этим паролем существует — он тоже скомпрометирован.** Нужен аудит.
4. **Уведомление abuse.** `45.143.21.60` рассылал спам несколько часов (минимум) — стоит ожидать blocklist-листинги (Spamhaus CSS/XBL, abuseipdb).
5. **Чистка `/var/log/dropbear`** (если есть) — для удаления fingerprint атакующих, но это удалит и улики.
## SMTP forward разблокирован (2026-05-20 ~17:00 MSK)
Александр пожаловался что почта перестала работать — это побочный эффект моего forward-drop для 25/465/587. Снял **forward** chain для этих портов (`/etc/nftables.d/99-incident-20260520.nft`), оставил только output-drop (с самого роутера — там SMTP-клиента быть не должно) + forward-drop для 22 (защита от LAN→WAN SSH-брута, если в сети окажется скомпрометированное устройство). Apple Mail/Outlook у LAN-клиентов снова работает.
## Постоянный фикс (2026-05-20 16:30 MSK)
После исходной изоляции выявлено в UCI: `firewall.@rule[9].name='Allow-SSH-WAN'`**корневая причина инцидента**, явное разрешение SSH с интернета. Также включён парольный auth: `dropbear.main.PasswordAuth=on`, `RootPasswordAuth=on`. Применено:
```
# backup
cp /etc/config/firewall /etc/config/firewall.bak.incident-20260520
cp /etc/config/dropbear /etc/config/dropbear.bak.incident-20260520
cp /etc/dropbear/authorized_keys /etc/dropbear/authorized_keys.bak.incident-20260520
# второй ключ в authorized_keys (recovery, если Mac отвалится)
cat >> /etc/dropbear/authorized_keys <<'KEY'
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKlYObrWNTPQbR+WXMURscQ85Xc5HTLZa+wC8sf8WU72 claude-code@code-server
KEY
# удалить дырявые UCI-правила
uci delete firewall.@rule[<idx>] # Allow-SSH-WAN
uci delete firewall.@rule[<idx>] # Allow-IPSec-ESP
uci delete firewall.@rule[<idx>] # Allow-ISAKMP
# key-only
uci set dropbear.main.PasswordAuth='off'
uci set dropbear.main.RootPasswordAuth='off'
uci commit firewall && uci commit dropbear
fw4 reload && /etc/init.d/dropbear restart
```
**Verify:** вход по ключу — ОК; вход по паролю — `Permission denied (publickey)` (dropbear даже password-prompt не показывает).
## NetBird route — NIIKN остаётся в mesh (2026-05-20 16:50 MSK)
Изначально планировалось убрать route `192.168.1.0/24` от pve-niikn для устранения конфликта. По решению Олега — NIIKN-route в mesh нужен, оставлен (новый id после re-create: `d86ug0rl0ubs73djq120`, peer `cqrj61bl0ubs73dkhq70` pve-niikn).
Сейчас тот же `192.168.1.0/24` анонсируют два пира:
- `d86ug0rl0ubs73djq120` — peer **pve-niikn**, network_id="NIIKN"
- `d7kkgtbl0ubs73du6560` — peer **nbgw-glavtorg**, network_id="Glavtorg-LAN"
Какой именно будет выбран на каждом client-peer — определяется NetBird's внутренней логикой metric/peer-status. Для надёжной работы по конкретному объекту с конфликтующим /24 — ходи по NetBird-IP пира, не по LAN-IP (для Бенелюкса: `100.70.207.97`, для LXC 116 unifi-controller: `100.70.138.234`).
## Улики
Локально на mac: `/tmp/benelux-evidence/`
- `recon.txt` — ps/netstat/dmesg/cron на момент обнаружения
- `lockdown.txt` — лог изоляции (kill 19 сессий)
- `harden.txt` — установка ключа, чистка cron
- `new_password.txt` (chmod 600) — новый root пароль
- `recon.sh`, `lockdown.sh`, `harden.sh`, `finalize.sh` — исполненные скрипты
## Open questions для Олега
- [ ] Audit паролей на других хостах (особенно публично-доступных) — выше
- [ ] Когда планируем wipe+sysupgrade Бенелюкса?
- [ ] Сообщить ли Александру (клиент в КП Бенелюкс) — на объекте только podkop для обхода блокировок, бизнес-сервисов нет, утечки клиентских данных не было; вопрос косметический
- [ ] Кто сделал WAN-SSH публичным изначально? (по умолчанию OpenWrt блокирует ssh на wan)

51
decisions/2026-05-23-glavtorg-autologon-off.md Normal file
View File

@@ -0,0 +1,51 @@
---
date: 2026-05-23
project: glavtorg
tags: [glavtorg, security, windows, vmware, autologon]
---
# Glavtorg: отключение AutoLogon без потери автозапуска VM
## Контекст
Клиент Ярослав (Главторг) пожаловался: после ребута сервера (Win 2012 R2, 100.70.195.47) пользователь сам автоматически логинится в console-сессию, экран не блокируется. Любой у монитора/iLO/KVM получает залогиненный рабочий стол админа сервера 1С.
AutoLogon был включён 2026-04-25 ради автостарта двух VMware Workstation VM (`nbgw` 192.168.1.50 — NetBird gateway, `Ubuntu` 192.168.1.51 — Amnezia VPN), которые поднимаются скриптом `C:\Scripts\start-vms.bat` через Task Scheduler `VMware AutoStart`.
## Проверка: нужен ли AutoLogon для VM?
На рабочем сервере:
- `vmrun list` — 2 VM running
- `Get-Process vmware-vmx` показал **SessionId=0** (System session, не интерактивная сессия Ярослава)
- `schtasks /Query /TN 'VMware AutoStart' /V`: `LogonType=Password`, `Last Result=0`, отработало после ребута 22.05.2026 13:17
Вывод: Task Scheduler стартует `vmrun ... nogui` со stored password, VM процессы живут в Session 0 как обычные сервисные процессы — интерактивная сессия для них **не требуется**.
## Решение
Снять AutoLogon полностью, оставив Task Scheduler как единственный механизм автозапуска VM.
### Что изменено в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
| Параметр | Было | Стало |
|---|---|---|
| AutoAdminLogon | 1 | 0 |
| ForceAutoLogon | 1 | 0 |
| AutoLogonCount | 999988 | (удалён) |
| DefaultPassword | (отсутствует, был только LSA secret) | — |
| DefaultUserName | Ярослав | Ярослав (оставлен — preselect на logon screen) |
| DefaultDomainName | glavtorg | glavtorg (оставлен) |
LSA secret `HKLM\SECURITY\Policy\Secrets\DefaultPassword` (создан Sysinternals Autologon) физически остаётся, но без флага `AutoAdminLogon=1` Winlogon его не читает. Полностью стереть можно через `Autologon64.exe /accepteula /delete` (бинарник не установлен — при необходимости скачать).
## Бэкап и rollback
- Бэкап Winlogon ветки: `C:\Scripts\winlogon-backup-20260523-125613.reg`
- Rollback-скрипт: `C:\Scripts\rollback-autologon.cmd` — импортирует бэкап + инструкция как вернуть пароль через Autologon64.exe если потребуется
- Для срочного возврата AutoLogon Ярославу достаточно запустить rollback-скрипт от админа и (если LSA secret был стёрт когда-нибудь позже) скачать Autologon с https://learn.microsoft.com/sysinternals/downloads/autologon
## Проверка после следующего ребута
1. После ребута сервер должен встать на logon screen (без автоматического входа)
2. `vmrun list` от Ярослава после RDP-логина должен показать обе VM running
3. `schtasks /Query /TN 'VMware AutoStart' /V /FO LIST``Last Result: 0`
4. NetBird-маршрутизация в 192.168.1.0/24 работает (доступ к Юрию Витальевичу/другим клиентам через nbgw)
5. Если что-то из этого не сработало — запустить `C:\Scripts\rollback-autologon.cmd`, ребутнуться, разбираться отдельно
## Связанные
- [[projects/glavtorg/README]]
- [[feedback_vmware_workstation_session]] — общая память про VMware Workstation и сессии (logoff роняет VM в interactive session; в нашем случае VM в Session 0, так что это про другой сценарий)

101
decisions/2026-05-26-antoshka-opus47-kiro-not-viable.md Normal file
View File

@@ -0,0 +1,101 @@
---
date: 2026-05-26
type: decision
tags: [decision, bot, openclaw, omniroute]
---
# Антошка на Opus 4.7: Kiro/GH-free варианты нерабочие, primary остаётся cc/ (Max-подписка)
**Дата:** 2026-05-26
**Статус:** Реализовано (конфиг откатан на cc/claude-opus-4-7)
## Контекст
- LXC 137 (бывшая "Максимка", переименовано в **"Антошка"** 2026-05-26)
- Цель: перевести Антошку с Sonnet 4.5/Opus 4.6 на **Opus 4.7** как primary
- Гипотеза: использовать бесплатный `kr/claude-opus-4.7` через Kiro (AWS Free Tier), как уже работает для `kr/claude-sonnet-4.5`. Если квоты не хватит — добавить ещё Kiro-учёток.
## Что попробовал
### 1. Переключил primary на `omniroute/kr/claude-opus-4.7`
Добавил модель в `models.providers.omniroute.models` (её там не было — только `cc/claude-opus-4-7`):
```bash
openclaw config set agents.defaults.model.primary omniroute/kr/claude-opus-4.7
openclaw config set agents.defaults.model.fallbacks \
'["omniroute/cc/claude-opus-4-7","omniroute/cc/claude-sonnet-4-6","omniroute/cx/gpt-5.4"]'
```
Hot reload применился, gateway: `agent model: omniroute/kr/claude-opus-4.7`.
### 2. Результат — каскадный фейл всех Anthropic-каналов
Первый же реальный запрос (Telegram):
```
14:02:18 kr/claude-opus-4.7 → 402 You have reached the limit (×4 раза по разным учёткам)
14:04:21 kr/claude-opus-4.7 → 400 No credentials for provider: kiro
14:04:24 cc/claude-opus-4-7 → 400 You're out of extra usage (Max-подписка выгорела)
14:04:26 cc/claude-sonnet-4-6 → 400 You're out of extra usage
14:04:50 cx/gpt-5.4 → 200 success (Codex выручил)
```
### 3. Состояние Kiro в OmniRoute (LXC 132, storage.sqlite)
```
provider_connections WHERE provider='kiro':
5 connections: 4 × credits_exhausted + 1 × banned
```
Все Opus 4.7 вызовы через Kiro **сегодня и исторически** = 402. Ни одного 200.
### 4. Проверил остальные провайдеры на Opus 4.7
| Провайдер | Opus 4.7 |
|---|---|
| `cc/` (Max OAuth) | **200 OK** — работает (после rolling-окна) |
| `kr/` (Kiro AWS) | 402, кредиты выгорели на всех учётках |
| `gh/` (GitHub Models) | 400 — модель есть в `available`, но адаптер OmniRoute шлёт под `integrator="vscode-chat"` который её не имеет |
| `kimi-coding/` | 402 billing |
| `amazon-q/` | 500 |
| `antigravity/` | timeout |
## Ключевое открытие
**Kiro Opus 4.7 — не Free Tier.** На Sonnet 4.5 учётка живёт месяц (~250-300M токенов), на Opus 4.7 — выгорает с первых запросов. Это **отдельная квота**, и она либо нулевая, либо настолько мелкая что неотличима от нуля.
Добавление новых Kiro-учёток **не решает** проблему — каждая новая учётка выгорит на Opus так же быстро.
## Решение
**Primary возвращён на `cc/claude-opus-4-7` (Max-подписка):**
```json
"agents.defaults.model.primary": "omniroute/cc/claude-opus-4-7"
"agents.defaults.model.fallbacks": [
"omniroute/cc/claude-sonnet-4-6",
"omniroute/kr/claude-sonnet-4.5",
"omniroute/cx/gpt-5.4"
]
```
Логика fallback chain:
1. Max-подписка Opus — основной
2. Max-подписка Sonnet — если Opus rolling-окно временно выгорело
3. **Kiro Sonnet** — бесплатный месячный канал, страховка пока Max не восстановится
4. Codex — последний резерв (rolling 3h, ~120 успехов/день суммарно)
## Что НЕ делать впредь
1. **Не пытаться использовать `kr/claude-opus-4.x` как primary** — квота меньше дневной нагрузки бота (~450 вызовов/день), сколько учёток ни добавляй.
2. **Не доверять `gh/claude-opus-*` через OmniRoute** — модель в `available list`, но адаптер несовместим (integrator-ID). Может починят апстрим, тогда переоценить.
3. **Перед сменой primary** — проверять `provider_connections.test_status` и делать одиночный `curl` тест через `http://10.0.0.179:20128/v1/chat/completions` с `model="<новая>"`. Сегодня я этого не сделал → пользователь увидел "Something went wrong" в Telegram.
## Файлы
- Бэкап: `/root/.openclaw/openclaw.json.bak-opus47-2026-05-26-*`
- Текущий конфиг: `/root/.openclaw/openclaw.json` (Antoshka primary = `cc/claude-opus-4-7`)
## См. также
- [[projects/dttb/openclaw|openclaw.md]] — справочник Антошки (бывш. Максимка)
- [[projects/clawdbot-bots|clawdbot-bots.md]] — список всех ботов
- [[decisions/2026-04-17-code-server-upgrade]] — предыдущая работа по OmniRoute/Kiro

45
decisions/2026-05-26-omni-domain-and-update.md Normal file
View File

@@ -0,0 +1,45 @@
---
date: 2026-05-26
type: decision
tags: [omniroute, npm, kiro, lxc-132]
---
# OmniRoute: домен omni.dttb.ru и апдейт 3.8.3
## Что сделано
### Обновление OmniRoute 3.8.2 → 3.8.3
- Бэкап `.env`: `/root/OmniRoute/.env.bak-20260526-065731`
- `cd /root/.npm/_npx/cb5891f90ae65d14 && npm install omniroute@latest`
- `systemctl restart omniroute` → active, `/v1/models` → 200
- Node 22.22.2, требуется ≥22.22.3 — warning, но работает
### Proxy Host #29 omni.dttb.ru
- В NPM: `omni.dttb.ru → http://10.0.0.179:20128`, WSS включён, SSL ❌
- HTTP доступен из локалки/NetBird (резолвится в 10.0.0.195 через ns spaceweb)
### Let's Encrypt — выпущен после добавления DNS
Первая попытка дала NXDOMAIN — публично у Spaceweb для `omni.dttb.ru` записи не было.
Я добавил через Spaceweb API: `POST https://api.sweb.ru/domains/dns` с `editMain action=add name=omni type=A value=176.62.183.186` (один вызов, чтобы не зацепить [[feedback_spaceweb_dns]]).
Подождал **10 минут** negative-cache LE Boulder (TTL=600), повторный запрос — успех.
**Cert ID 114**, expires 2026-08-24, привязан к Proxy Host #29 через `PUT /api/nginx/proxy-hosts/29 {certificate_id:114, ssl_forced:true, http2_support:true}`.
Проверка: `https://omni.dttb.ru/` → 200, title "OmniRoute — AI Gateway", CN=omni.dttb.ru issued by Let's Encrypt E8.
## Кир (kr/*) — бесплатные модели на 2026-05-26
Всего 11, появились новинки:
- `kr/claude-opus-4.7` ⭐ — теперь есть Opus 4.7 у Кира тоже
- `kr/claude-sonnet-4.6`
- `kr/claude-opus-4.6`, `kr/claude-sonnet-4.5`, `kr/claude-haiku-4.5`
- `kr/deepseek-3.2`, `kr/minimax-m2.5`, `kr/minimax-m2.1`
- `kr/glm-5`, `kr/qwen3-coder-next`
- `kr/auto-kiro`
Алиас `kiro/*` идентичен. Это резерв для Антошки если `cc/claude-opus-4-7` (Max OAuth) свалится в billing-ошибку.
## Связанные
- [[omniroute]] — клод-память про OmniRoute
- [[2026-05-06-openclaw-opus-4-7-via-max-cliproxy]] — текущий primary Антошки на cc/, fallback chain
- [[feedback_spaceweb_dns_desync]] — Spaceweb DNS показывает 10.0.0.195 для существующих *.dttb.ru записей; для несуществующих — NXDOMAIN

94
decisions/2026-05-26-server-upgrade-z6-g4.md Normal file
View File

@@ -0,0 +1,94 @@
---
date: 2026-05-26
type: decision
tags: [decision, hardware, proxmox, planning]
---
# Апгрейд основного сервера Proxmox — план
**Дата:** 2026-05-26
**Статус:** В планировании (черновик, добивать)
## Контекст
Текущий хост Proxmox (10.0.0.250) упирается в **RAM** при росте числа VM/LXC. На ноде сейчас 36 единиц (15 VM + 21 LXC), из которых 16 запущены. Планы:
- 50+ контейнеров (масштабирование лабы)
- Локальные LLM (Ollama, llama.cpp) — требует GPU
- ZFS-хранилище / Ceph — требует дисковых слотов и ECC RAM
- Kubernetes / dev-окружения
## Ограничения
- **Бюджет:** до 100к ₽
- **Размещение:** дома в отдельной комнате/шкафу
- **Шум:** rack-серверы (Dell R730xd/R740xd) **отпадают** — слышно даже через шкаф
- Нужна **workstation или самосбор в tower-корпусе**
## Рассмотренные варианты
### ❌ Dell R730xd / R740xd (rack 2U)
Лучшее железо за деньги (256 ГБ RAM + 28 ядер за 100к), но **шумит как пылесос** — слышно через дверь шкафа. Отклонено.
### Вариант A: HP Z8 G4
- Корпус б/у: 4050к
- 1× Xeon Gold 6138 (20C/40T): 10к
- 128 ГБ DDR4 ECC RDIMM: 28к
- NVMe 1 ТБ: 7к
- **Итого ~90к, 128 ГБ RAM, 20 ядер**
- Потолок: 3 ТБ RAM, 56 ядер (2× CPU), до 3× GPU
- Большой и тяжёлый (~46 кг)
### Вариант B: HP Z6 G4 ⭐ (рекомендуемый)
Младший брат Z8, та же платформа LGA 3647 / DDR4 ECC.
- Корпус б/у: 2535к (на 15к дешевле Z8)
- 1× Xeon Gold 6138 (20C/40T): 10к
- **192 ГБ DDR4 ECC RDIMM** (6×32): 38к
- NVMe 1 ТБ: 7к
- **Итого ~90к, 192 ГБ RAM, 20 ядер**
- Потолок: 768 ГБ RAM, 56 ядер, 2× GPU
- Компактнее и тише Z8
### Вариант C: Самосбор EPYC Rome
- Supermicro H11SSL-i: 20к
- EPYC 7402P (24C/48T, 180W): 28к
- 256 ГБ DDR4 ECC RDIMM (8×32): 50к
- Fractal Define 7 XL: 15к
- Seasonic 850W + Noctua NH-U14S TR4-SP3: 18к
- NVMe 1 ТБ: 7к
- **Итого ~135к** (превышает бюджет на 35к)
- Лучшая память/ядра за деньги, но дороже и сложнее
## Сравнение
| Критерий | Z8 G4 | **Z6 G4** ⭐ | EPYC самосбор |
|---|---|---|---|
| Цена | 90к | **90к** | 135к |
| RAM | 128 ГБ | **192 ГБ** | 128256 ГБ |
| Потолок RAM | 3 ТБ | 768 ГБ | 2 ТБ |
| Ядер | 20 | 20 | 24 |
| Шум | Тихий | **Тише** | Тихий (башня) |
| GPU слотов | 3× | 2× | 23× |
| Сборка | Готово | Готово | Самосбор |
## Предварительное решение
**HP Z6 G4** — оптимальный баланс цены/памяти/шума:
- За 90к получаем 192 ГБ RAM вместо 128 ГБ у Z8 (главное узкое место решено)
- Тише и компактнее Z8
- Готовая платформа, апгрейд по мере роста до 768 ГБ RAM
- 2× GPU слотов хватит для RTX 3090 24GB (LLM)
## Открытые вопросы (добить позже)
- [ ] Уточнить конкретную модификацию Z6 G4 на Авито (с/без CPU/RAM)
- [ ] Выбрать CPU: Gold 6138 (20C, 125W) vs Gold 6248R (24C, 205W) — нужен ли усиленный кулер
- [ ] План миграции с текущего хоста (10.0.0.250) — какие VM/LXC переносить первыми
- [ ] GPU для LLM — отдельной покупкой или сразу в комплекте (RTX 3090 24GB б/у ~5060к)
- [ ] Дисковая подсистема: ZFS поверх каких дисков? (HDD под холодные данные + NVMe под VM)
- [ ] Что делать со старым хостом 10.0.0.250 — оставить как backup-ноду PVE кластера?
## Связанные документы
- [[projects/dttb/proxmox-inventory]] — текущая инвентаризация
- [[projects/dttb/network-topology]] — сетевая карта

72
decisions/2026-05-28-mmfb-effector-saver-locked-admin.md Normal file
View File

@@ -0,0 +1,72 @@
---
title: MMFB — Effector Saver Agent не стартует, .\Администратор залочен
date: 2026-05-28
tags: [mmfb, lionart, effector-saver, windows-service, decision]
status: resolved
---
# MMFB / LionART 1C — Effector Saver Agent не стартует, `.\Администратор` залочен
## Контекст
[[../projects/mmfb/lionart-1c|VM 100 pve LionART]] (`WIN-70M2VEJIKEF`, 10.253.1.240, Win Server 2022). Служба `efsaveragent` (Effector Saver Agent, `C:\Program Files\Effector Saver\fagent.exe`) в Stopped/Auto, не стартует.
## Диагноз
Цепочка Event Log → SCM:
```
7038 Службе "efsaveragent" не удалось войти в систему с именем ".\Администратор"
и текущим паролем, поскольку произошла ошибка
7000 Сбой при запуске службы "Effector Saver Agent"
```
Это повторялось каждую минуту в течение последних минут. SCM хранит пароль учётки отдельно от LSA — пароль `.\Администратор` менялся (или Effector ставили со старой парой), а SCM-секрет не обновили.
Дополнительно: попытки SCM × мои WinRM-пробы залочили учётку.
```powershell
# Через LogonUser API:
LogonUser SERVICE : False (err=1909) # ERROR_ACCOUNT_LOCKED_OUT
LogonUser INTERACTIVE : False (err=1909)
LogonUser NETWORK : False (err=1909)
# Через ADSI:
$u = [ADSI]"WinNT://./Администратор,user"
$u.IsAccountLocked True
$u.BadPasswordAttempts 10
```
## Решение (порядок важен)
```powershell
# 1. Заглушить SCM, чтобы он перестал каждую минуту ломиться с неверным паролем
sc.exe config efsaveragent start= disabled
sc.exe stop efsaveragent
# 2. Разблокировать учётку (Set-LocalUser не имеет lockout-поля → через ADSI)
$u = [ADSI]"WinNT://./Администратор,user"
$u.IsAccountLocked = 0
$u.SetInfo()
# 3. Проверить пароль через LogonUser(LOGON32_LOGON_SERVICE=5) — тот же путь, что использует SCM.
# Если False — не пиши пароль в SCM, иначе сразу опять залочишь.
# Если True — пароль валидный, прошиваем:
sc.exe config efsaveragent obj= ".\Администратор" password= "<актуальный_пароль>"
sc.exe config efsaveragent start= auto
sc.exe start efsaveragent
```
После старта:
- `efsaveragent` в Running, PID 9104, fagent.exe, 28 MB
- Новых 7038/7000 — нет
- Аккаунт остаётся разлоченным
## Уроки
- При **7038** не паникуй с lockout: сначала **остановить службу** (или переключить на disabled), потом разблокировать.
- При WinRM-failed-login проверяй lockout первым делом (через `[ADSI]"WinNT://./<user>,user"` поле `IsAccountLocked`) — не подбирай пароль вслепую, иначе добиваешь счётчик.
- `Set-LocalUser` не умеет снимать lockout — только ADSI или `net user`-с-новым-паролем.
- Не доверяй `BadPasswordAttempts: 0` после разблока — этот счётчик не сразу обнуляется; смотри сам `IsAccountLocked`.
## Открытые вопросы
- Почему пароль `Администратор` в SCM разошёлся с фактом — не выяснено. `PasswordLastSet = 06.05.2024`, установка Effector Saver — 16.02.2025. Возможно, инсталлер прописал тестовый пароль, или пароль менялся без обновления службы.
- Стоит ли увести `efsaveragent` на отдельную сервисную учётку без password-expiry (например, `.\Effector Saver`, которая уже имеет `SeServiceLogonRight`) — выяснить, что Effector Saver кладёт по сети: если UNC с админ-кредами, миграция нетривиальна.

72
decisions/2026-05-29-niikn-diadoc-ozon-fix.md Normal file
View File

@@ -0,0 +1,72 @@
---
date: 2026-05-29
type: decision
tags: [niikn, network, ozon, diadoc, podkop, netbird, lionart, troubleshooting]
---
# НИИКН: diadoc.ru и ozon.ru не открывались — два разных корня
> ## 🎯 ИТОГ / КОРНЕВОЕ РЕШЕНИЕ (2026-05-29, вечер)
> **Из podkop убран список `russia_outside`** — он и был первопричиной всех повторяющихся жалоб на gov/РФ-сайты.
> `russia_outside` (itdoginfo) = «РФ-сайты, доступные только из РФ-подсетей, для людей **за границей**». Для офиса в РФ он подменял gosuslugi/ozon/ЕИС/nspd на FakeIP и гнал в **финский** туннель → гео-блок «Доступ ограничен».
> Правильный «in-Russia bypass» список — `russia_inside` (заблокированное зарубежное), но он не нужен: точечные `meta`/`youtube`/`telegram` уже покрывают рабочее. Спасибо инсайту Олега про inside/outside.
> **Проверка (sing-box 127.0.0.42 до/после):** РФ-сайты перестали фейкапиться (стали реальными), заблокированные (instagram/youtube/whatsapp) остались в туннеле.
> **Эффект:** dnsmasq-overrides больше не нужны (оставлены как backup) — **слетать и ломать больше нечему**. Цикл «реконфиг → слетело → сломалось» разорван в корне.
> **Сторож:** `niikn-podkop-watchdog.sh` на pve-niikn (cron */15) следит, чтобы `russia_outside` не вернулся при обновлении podkop; алерт через Антошку (@maxim_dttb_bot) Олегу (chat 1292155421). Всё ниже — история диагностики и legacy-обходы (override/маршруты), они остаются как backup.
Жалоба: «в НИИКН не заходит на www.diadoc.ru и на озон». Оказалось — **две независимые причины**, не связанные с (изначально подозреваемыми) потерянными overrides.
## Диагноз
| Сайт | Резолв на клиенте | Путь | Корень проблемы |
|------|-------------------|------|-----------------|
| **ozon.ru** | `198.18.x` (FakeIP) | podkop list `russia_outside` → sing-box → awg0 → **Финляндия** | Ozon гео-блокирует зарубежные IP. РФ-сайт нельзя гнать через финский выход. |
| **diadoc.ru** | `46.17.203.154` (реальный, direct) | клиент → MikroTik → **MTS WAN `85.235.181.190`** | MTS-IP **чёрная дыра** к Контуру (TCP timeout 12с). С LionART (`195.26.30.163`) — TCP/TLS ок, отдаёт 200 (на curl без UA — 403 анти-бот). |
Ключевое: пути у них **разные** (ozon — через туннель, diadoc — напрямую), поэтому и фиксы разные.
## Решения
### ozon.ru — DNS override (как nspd)
```sh
# OpenWrt 192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/77.88.8.8'
uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/8.8.8.8'
uci commit dhcp && /etc/init.d/dnsmasq restart
```
Один override `/ozon.ru/` покрывает всю зону (`www`, `xapi`, `api`, `finance`). CDN `ozone.ru` и так был прямым. Теперь `*.ozon.ru` → реальный IP → прямой MTS (РФ-IP) → Ozon отдаёт сайт.
### diadoc.ru — маршрут через NetBird → pve-LionART (как nspd/zakupki)
```sh
# 1. NetBird route (id d8cljnbl0ubs7386r1ug)
# 46.17.203.0/24 (AS49675 SKB Kontur) → peer cuisnd3l0ubs73bsbbl0 (LionART), group cqgcidrl0ubs73f2hgf0
# 2. MikroTik 192.168.1.1:
/ip route add dst-address=46.17.203.0/24 gateway=192.168.1.201 comment="diadoc via NetBird->LionART"
# 3. MASQUERADE -s 192.168.1.0/24 -o wt0 на pve-niikn — уже стоял (systemd)
```
DNS-override для diadoc НЕ нужен — он и так резолвится в реальный IP.
## Проверка
- **diadoc:** с реального офисного ПК (maul-pc, 192.168.1.89, после `ipconfig /flushdns`) → `www.diadoc.ru` **HTTP 200**. ✅
- **ozon:** клиент резолвит реальный IP; серверы Ozon отвечают (307 + Set-Cookie). curl упирается в анти-бот «Доступ ограничен» (403) — но **одинаково с MTS и с LionART (двух разных чистых РФ-IP)** ⇒ блок по fingerprint curl, не по IP ⇒ **браузер JS-challenge проходит**. Маршрут через LionART для ozon смысла не имеет (там тот же 403). ✅
## Сопутствующие находки
- **awg0 туннель ЖИВ** (UP, `10.8.1.16/32`, ping через него 28мс). Раннее подозрение «туннель лёг» = ложная тревога: **busybox `ip` не поддерживает флаг `-br`**`ip -br link` молча пуст. Проверять `ip addr show <if>` / `ip link show <if>` без `-br`. См. [[../projects/niikn/openwrt-bypass]].
- **`gosuslugi.ru` сейчас FakeIP'ится** (`198.18.2.204` → Финляндия) = сломан, override снова потерян. Прочие РФ-маркетплейсы (WB, СберМаркет, Я.Маркет, М.Видео, Авито) — direct, ок.
- `russia_outside` в podkop ловит РФ-сайты узко (ozon, gosuslugi), не массово. Если будут жалобы на другие РФ-сайты — проверять FakeIP и при необходимости рассмотреть удаление `russia_outside` из `community_lists` (для офиса в РФ финский выход для РФ-сайтов вреден).
## Дополнение (тот же день): ЕИС + восстановление overrides + проверка podkop
Олег добавил: «ЕИС тоже не работает, проверь на Максиме Мауле; и podkop проверь, что заблокированные сайты работают».
- **podkop/туннель — OK.** С maul-pc: youtube/instagram→200, whatsapp соединяется. tproxy-счётчик 8.3M пакетов (растёт), awg0 несёт трафик. Заблокированные работают.
- **ЕИС (`zakupki.gov.ru`) был сломан** по той же причине, что gosuslugi: override слетел → FakeIP→Финляндия. В живом `uci show dhcp` оставались только `nspd`+`ozon`.
- **Восстановил ВСЕ слетевшие overrides** (`sev`, `zakupki`, `gosuslugi`, `rosreestr`, `culture`, `economy`). После рестарта dnsmasq + flushdns на клиенте: `zakupki.gov.ru`→**200** (через уже существующий route `95.167.245.0/24`→LionART), `gosuslugi`/`sev`/`rosreestr`/`culture`/`economy`→**200** (через MTS напрямую — class A подтверждён). Проверено на maul-pc.
- **`lk.zakupki.gov.ru` (ЛК ЕИС)** — НЕ сетевая проблема: ГОСТ-TLS (alert 40 с MTS и с LionART), `94.25.0.0/17`. Нужен Yandex Browser (нативный ГОСТ) + КриптоПро/ЭЦП. Маршрут не поможет.
Вывод: **главная причина массовых жалоб НИИКН на gov-сайты = периодически слетающие dnsmasq-overrides** (известная болячка podkop-реконфигов). Сильный кандидат на watchdog (cron на pve-niikn: проверять `uci show dhcp` и доливать недостающие overrides + алерт через Антошку).
## Связанные
- [[../projects/niikn/govru-quickfix-playbook]] — реестр overrides/routes обновлён
- [[2026-05-04-niikn-nspd-via-netbird-lionart]] — та же схема LionART для nspd
- [[../projects/niikn/openwrt-bypass]] — общая схема podkop+AWG

41
decisions/2026-06-01-claude-remote-control-mobile.md Normal file
View File

@@ -0,0 +1,41 @@
# Claude Code Remote Control с iPhone/iPad (Max-аккаунт)
**Дата:** 2026-06-01
**Хост:** code-server LXC 132 (10.0.0.179)
## Задача
Управлять сессией Claude Code на LXC 132 из официального приложения Claude на iPhone/iPad.
## Ключевая проблема
Remote Control (`claude.ai/code`) **требует настоящий логин claude.ai (Pro/Max)** и **прямой Anthropic API**.
Не работает с прокси: кастомный `ANTHROPIC_BASE_URL` (OmniRoute `omni.dttb.ru`) + `ANTHROPIC_AUTH_TOKEN`/`ANTHROPIC_API_KEY` ломают его.
Но рабочий сетап code-server использует именно прокси для бесплатных моделей — его трогать нельзя.
## Решение: изолированный конфиг + systemd
Отдельный `CLAUDE_CONFIG_DIR=/root/.claude-rc` с Max-логином, без прокси-переменных. Не конфликтует с рабочим `~/.claude`.
### Что в /root/.claude-rc
- `.credentials.json` — Max OAuth (скоуп `user:sessions:claude_code` = full-scope token, обязателен для RC). Скопирован из `~/.claude/.credentials.json`.
- `.claude.json` — содержит `oauthAccount` (org UUID `d76aa101...`, аккаунт batlaew@gmail.com). **Без него** RC падает с *"Unable to determine your organization"*. Сюда же добавлен trust для рабочей папки: `projects["/root/knowledge-base/projects/niikn"].hasTrustDialogAccepted=true`.
- `start-rc.sh` — врапер: `unset` всех `ANTHROPIC_*` прокси-переменных, `cd niikn`, `claude remote-control --name niikn --spawn same-dir <<< "y"` (y подтверждает промпт «Enable Remote Control?»).
### systemd
`/etc/systemd/system/claude-rc.service``enabled`, автостарт, `Restart=on-failure`. `UnsetEnvironment=` всех `ANTHROPIC_*` на уровне unit.
## Подключение с телефона
1. Приложение Claude (iOS) → войти **тем же** Max-аккаунтом (batlaew@gmail.com).
2. Вкладка **Code** → сессия `niikn` (зелёный индикатор = онлайн) → подключиться.
3. Альтернатива из браузера: `https://claude.ai/code` или прямой URL окружения.
4. Доступ снаружи НЕ зависит от ai.dttb.ru/NPM — RC ходит через инфраструктуру Anthropic.
## Управление
- Статус: `systemctl status claude-rc`
- Логи/URL: `journalctl -u claude-rc -f`
- Стоп: `systemctl stop claude-rc`
- Обновить креды (если протухнут): перелогиниться в `~/.claude`, затем `cp ~/.claude/.credentials.json /root/.claude-rc/`
## Грабли
- Версия CLI ≥ 2.1.51 (стоит 2.1.92). ✓
- API-ключ / Console-аккаунт / `CLAUDE_CODE_USE_BEDROCK|VERTEX|FOUNDRY` блокируют RC.
- `oauthAccount` хранится в `.claude.json`, а НЕ в `.credentials.json` — копировать оба файла.

72
decisions/2026-06-04-deapple-migration-roadmap.md Normal file
View File

@@ -0,0 +1,72 @@
---
дата: 2026-06-04
тема: Деамериканизация личного цифрового стека (уход от Apple)
статус: в работе (roadmap)
теги: [privacy, deapple, degoogle, nextcloud, grapheneos, linux, миграция]
---
# Уход от Apple — план миграции
## Мотивация
Олег принял решение убрать зависимость личного цифрового стека от американских
big-tech. Драйверы:
- **Геополитический риск отключения** — санкции, нет официальной поддержки Apple в РФ,
реальный риск блокировки Apple ID / App Store / iCloud.
- **Приватность** — недоверие к тому, что данные уходят в США через сервисы Apple
(телеметрия, iCloud, подчинение Apple законам США).
- **Личное** — триггер: телефонные мошенники обманули и обокрали мать (накопления за
7,5 лет). Принципиальное нежелание зависеть от чего-либо американского.
## Ключевой принцип (чтобы не сделать хуже)
**Уход от Apple ≠ уход на Google.** Голый Android = Google = та же юрисдикция США и
более жёсткий сбор данных. Цель — **degoogled + self-hosted**, а не смена одного
US-вендора на другого.
## Threat model — три разные угрозы (раньше слиплись в одну)
1. **Телефонное мошенничество (мать)**НЕ решается сменой телефона. Решение: банковский
антифрод + блокировка звонков + обучение. Отдельный человеческий трек.
2. **Риск отключения сервисов санкциями** — решается уходом от единого гейткипера:
Android умеет sideload (APK напрямую, без регионального аккаунта — убирает старую
возню с TJ/US Apple ID), на десктопе Linux.
3. **Утечка данных в США** — решается degoogled-ОС + своими сервисами вместо облака.
Здесь главный козырь уже есть: **Nextcloud AIO на dttb.ru.**
## Треки
### 1. iCloud → Nextcloud (СТАРТ — бесплатно, безрисково, не зависит от железа)
Увести с iCloud на свой Nextcloud: контакты (CardDAV), календарь (CalDAV), фото
(автозагрузка), файлы, заметки. Работает при любом телефоне.
- [ ] Обследовать NC: версия, свободное место, приложения Contacts/Calendar/Photos
- [ ] Контакты: экспорт vCard из iCloud → импорт в NC Contacts, настроить CardDAV на устройстве
- [ ] Календарь: экспорт .ics → NC Calendar, CalDAV
- [ ] Фото: оценить объём медиатеки, автозагрузка в NC
- [ ] Файлы/заметки
- Открытые вопросы: включён ли Advanced Data Protection в iCloud; объём медиатеки (ГБ);
что из iCloud реально критично.
### 2. Антифрод для матери (человеческий приоритет, параллельно)
Защита от повторения. НЕ про смену техники.
- [ ] Банковские лимиты + подтверждение операций, антифрод банка
- [ ] Блокировщик звонков / определитель, белый список контактов
- [ ] Разговор о схемах социнженерии
- Открытые вопросы (нужны от Олега): банк матери; тип телефона (кнопочный/смартфон,
Android/iPhone); кто физически рядом помогает настроить.
### 3. Телефон → degoogled Android
Кандидаты: Pixel + GrapheneOS (максимум приватности) либо /e/OS. Российские/Аврора для
daily driver пока сыро.
- [ ] **RESEARCH до покупки:** РФ-банковские приложения, Mir Pay, NFC-оплата на GrapheneOS
без GMS — работает или стоп-фактор? (Play Integrity / push без GMS)
- [ ] Выбор модели и ОС
- [ ] План переноса: мессенджеры, банки (APK с сайтов), 2FA, Госуслуги
- Открытые вопросы: бюджет; нужен ли NFC-платёж; критичные приложения.
### 4. Mac → Linux (последним, осторожно)
Самый высокий риск сломать рабочий процесс. Mac держим как fallback на переходный период.
- [ ] Выбор дистрибутива
- [ ] Перенос: knowledge-base (rclone-bisync + Stop-hook), Claude Code CLI, NetBird, тулинг
- Открытые вопросы: модель Mac (Apple Silicon → Asahi Linux? или отдельное x86-железо);
готовность держать переходный период.
## Принцип миграции
Ничего не выбрасываем, пока новое не проверено в бою. Параллельные периоды на каждом треке.

75
decisions/2026-06-04-lipki-deco-p9-powerline-degradation.md Normal file
View File

@@ -0,0 +1,75 @@
---
date: 2026-06-04
type: decision
status: pending-visit
tags: [lipki, deco-p9, powerline, homeplug, mesh, visit-required]
project: lipki
---
# Липки — деградация Deco P9 mesh (гипотеза: главный в фильтре/UPS)
## Симптом
Клиент **Антон** (Липки, Звенигород) сообщил, что **«ничего не работает»**. Раньше работало стабильно.
## Диагностика 2026-06-04
**Роутер `OpenWrt_Lipki` (100.70.35.234) — чист:**
- Uptime 7д, load 0.17
- WAN eth0 5.101.135.71, default gw отвечает
- Internet (1.1.1.1, 77.88.8.8) — 0% loss
- DNS через подкоп `127.0.0.42` — резолвит ya.ru, google.com
- NetBird Connected, peers 34/63
- Память 219MB free, swap 0
- dnsmasq, sing-box, netbird, hostapd — все процессы живы
**LAN — прогрессирующая деградация Deco P9 mesh:**
| IP | Имя | 11:21 | 12:42 (через 1ч) |
|---|---|---|---|
| 192.168.1.35 | deco-master | ❌ | ❌ |
| 192.168.1.67 | deco-2 | ✅ | ✅ |
| 192.168.1.173 | deco-3 | ✅ | ❌ |
| 192.168.1.80 | deco-4 | ✅ | ✅ |
| 192.168.1.179 | HiTEPRO (терминал) | ✅ | ❌ |
| 192.168.1.192 | Ajax-сигнализация | ❌ | ❌ |
| 192.168.1.201 | client | ✅ | ❌ |
За час отвалились ещё 3 устройства (deco-3, HiTEPRO, .201). 2 из 4 Deco-узлов мёртвых.
## Гипотеза (вероятная причина)
**Главный Deco P9 (192.168.1.35) подключён к удлинителю / сетевому фильтру / UPS.**
Deco P9 использует **HomePlug AV2 (Powerline)** как mesh-backbone между узлами — не WiFi-mesh. Любой сетевой фильтр / стабилизатор / источник бесперебойного питания **глушит сигнал HomePlug**, потому что:
- В фильтрах стоят LC-цепи, отсекающие ВЧ-помехи (а HomePlug — это и есть ВЧ-сигнал поверх 50 Гц).
- В UPS — импульсные преобразователи, ставят сильный шум в той же полосе.
- Удлинители с защитой от перенапряжения — то же самое.
Раньше работало → значит изначально было воткнуто напрямую в стенную розетку. **Что-то изменилось** (переставили, добавили фильтр, заменили удлинитель, добавили UPS на щиток).
## Что нельзя сделать удалённо
- У Deco P9 **нет SSH/Telnet/USB-консоли** — через ОС не оживить.
- TP-Link app в режиме AP (Deco работают как точки доступа за OpenWrt) — функция Reboot узла часто не работает.
- Даже если cloud-команда дойдёт до главного — она пойдёт дальше по powerline до мёртвых узлов. А backbone и сломан.
ARP-spam, flush DHCP leases, restart dnsmasq на стороне OpenWrt — пробовал, на зависший WiFi-radio / powerline не действуют.
## План на визит (запланирован: завтра-послезавтра)
1. **Найти главный Deco (192.168.1.35) и проверить во что он воткнут.**
- Если в фильтр / удлинитель / UPS — **перевоткнуть напрямую в стенную розетку**.
- То же для всех остальных узлов Deco (.67, .80, .173).
2. **Power-cycle всех узлов** — выдернуть-воткнуть на 30 секунд каждый.
3. Проверить, что HiTEPRO (терминал, .179) и Ajax-хаб (.192) подключены **напрямую в LAN-порт OpenWrt или в живой Deco**, а не висят на powerline через мёртвый узел.
4. Зафиксировать в README текущий расклад: какой узел где стоит, во что воткнут, в каком помещении.
## Долгосрочно
Заменить Deco P9 (Powerline-mesh) на нормальный WiFi-mesh — например **Deco X-серия** (X20/X50/X60) или **Asus ZenWiFi**. Powerline всегда лотерея — зависит от качества электропроводки и набора потребителей в розетках, к которым со временем добавляется хлам с импульсными БП.
## Связанные
- [[../projects/lipki/README]]
- [[../claude-memory/feedback_lipki_deco_powerline]] (если будет создана)

82
decisions/2026-06-05-benelux-blackout-fw4-recovery.md Normal file
View File

@@ -0,0 +1,82 @@
---
date: 2026-06-05
type: decision
tags: [benelux, openwrt, firewall, fw4, nftables, blackout, recovery, alex-bot]
status: closed
severity: critical
---
# Бенелюкс — после blackout вся LAN без интернета: `fw4` не строит `forward` chain
## Симптомы (поверхностные)
- Александр пожаловался: «после отключения электричества интернет не работает»
- В `unifi.ui.com` UniFi-консоль (UCK G2 Plus `Benelyuks`, `192.168.1.199`) показана **Offline** с прошлого дня — у неё часы отстали почти на 19 часов (NTP не достучался)
- Mac, телефоны, IoT — Wi-Fi видят, IP получают, но «без интернета»
- При этом **сам Cudy роутер** (`100.70.207.97` через NetBird) полноценно работает, ping `8.8.8.8` от него = 0% loss
## Корневая причина
После blackout-перезагрузки Cudy пакет `firewall4` (v2024.12.18, OpenWrt 24.10.3) не смог собрать ruleset, потому что **новый `nftables v1.1.1` отказался парсить старый синтаксис в `/etc/nftables.d/*.nft`**:
```nft
chain dstnat { # ← UNEXPECTED '{', expecting string or last
iifname "wt0" tcp dport ... dnat ip to ...
}
chain printer_dnat_pre { # ← Chain of type "nat" is not supported
type nat hook prerouting priority dstnat; policy accept;
...
}
```
Файлы, написанные раньше, использовали **chain-with-type-hook** или **add-rules-to-existing-chain-via-block**оба синтаксиса в v1.1.1 либо не поддерживаются вообще, либо требуют точное соответствие имени уже существующего chain в `table inet fw4`.
Поскольку парсер падал на каждом из этих файлов, **fw4 откатывался** и **не создавал `forward` и `dstnat` chains вообще** → весь LAN-форвардинг через NAT отсутствовал → ни одно устройство в `192.168.1.0/24` не могло выйти наружу. UCK не достукался до облака Ubiquiti → UI cloud = Offline. Параллельно с этим её время отстало (NTP UDP/123 режется провайдером «Умные сети») — это две **независимые** проблемы.
## Что сделал в восстановлении
1. **Поставил время UCK вручную** через SSH (`date -u -s "..."; hwclock -w`)
2. **Диагностика nft**: ядро (`nft_chain_nat`, `nf_nat`, `nft_ct`) и userspace (`v1.1.1`) на месте, ручные команды через arg работают, но `nft -f file` со стандартным fw4-output падает на пользовательских includes
3. **Случайно усугубил**: `opkg install --force-reinstall firewall4` без `opkg update` — opkg сначала удалил пакет, потом не смог скачать (репозиторий блокировался). `fw4` исчез. Скачал `.ipk` с Mac → `scp -O` (legacy режим, потому что Cudy без sftp-server) → `opkg install /tmp/firewall4.ipk`
4. **Отключил все user-`.nft`-файлы** (`mv → .disabled-20260605-syntax`), оставил только `10-custom-filter-chains.nft` (дефолтный шаблон от пакета) → `fw4 reload` поднял базовый ruleset с `forward`/`dstnat`/`srcnat` chains → LAN-форвардинг заработал
5. **Подкоп**: создал зону `awg` через UCI (`uci add firewall zone` + `device='awg0'` + `masq=1` + forwarding `lan → awg`) → подкоп заработал (`api.telegram.org` HTTP 302 за 0.27s)
6. **Удалил принтер-файлы окончательно** (Олег сказал не нужны)
## Что временно отключено (`.disabled-20260605-syntax`)
| Файл | Назначение | Что внутри |
|---|---|---|
| `00-emergency-block.nft` | input drop SSH с WAN | Дубликат wan-zone drop, **не критично** |
| `51-awg0-masq.nft` | masquerade `awg0` для LAN | **Заменено UCI-зоной `awg`** (см. выше) |
| `99-incident-20260520.nft` | output drop SMTP/SSH + forward drop SSH | Бот Алекс `alex-secwatch.sh` через `nft insert rule` восстановит SSH-блок каждые 15 мин; SMTP-output на роутере и так не нужен |
## Что узнал про бота Алекса
Подозревал что бот деплоит битые `.nft` файлы → проверил. **Бот невиновен**, его архитектура **правильная**:
- `/opt/assistant/alex-secwatch.sh` (крон `*/15`) использует **`nft insert rule inet fw4 input iifname "eth0" tcp dport 22 counter drop comment "..."`** — это **runtime-вставка через arg-синтаксис**, который **поддерживается в nft v1.1.1**
- Никаких записей в `/etc/nftables.d/` бот не делает
- Битые .nft файлы создал я (Claude) в предыдущих сессиях, не бот
## Правило на будущее: как добавлять firewall-правила на Бенелюксе (и любом OpenWrt 24.10+)
| Цель | Как делать | Что НЕ делать |
|---|---|---|
| Persistent через ребут | **UCI**: `uci add firewall rule/redirect/zone/forwarding`, потом `uci commit firewall; fw4 reload` | НЕ писать `/etc/nftables.d/*.nft` с `chain xxx { type ... hook ... }` или с `chain xxx { ... }` блоком |
| Runtime, временно | `nft insert rule inet fw4 <chain> <expression>` через SSH (как делает бот Алекс) | — |
| DNAT (port forward) | `uci add firewall redirect; uci set firewall.@redirect[-1].target='DNAT'; uci set ...src_dport ...dest_ip ...dest_port; uci commit; fw4 reload` | НЕ писать вручную `chain printer_dnat_pre { type nat hook prerouting ... }` |
| Masquerade-зона для нового интерфейса (`awg0`, `wt0` и др.) | `uci add firewall zone; uci set ...device='awg0' masq='1'; uci add firewall forwarding; uci set ...src=lan dest=awg; uci commit; fw4 reload` | — |
## Открытое для бота Алекса
Если в будущем бот должен деплоить какие-то правила (например автоматический проброс принтера или DNAT для нового сервиса):
- использовать `uci add firewall redirect ...` через SSH к Cudy (persistent),
- или `nft insert rule` (временно, как уже делается для SSH-блока).
**Никогда** не писать в `/etc/nftables.d/*.nft` с `chain xxx { ... }` синтаксисом — оно работало на старом nft (v1.0.x), но в v1.1.1 OpenWrt 24.10.3 ломает весь fw4.
## TODO
- [ ] При следующем доступе на Cudy — перепроверить что `alex-secwatch.sh` через `nft insert` восстановил SSH-WAN-блок (должно произойти через 15 мин от 09:30 UTC)
- [ ] Долгосрочный фикс времени UCK: включить ntpd-сервер на Cudy (`uci set system.ntp.enable_server=1`) и в UI UCK Network → System → NTP прописать `192.168.1.1` (см. [[../projects/benilux/credentials#известная-проблема-ntp-не-работает]])
- [ ] Удалить файлы `*.disabled-20260605-syntax` с роутера через 1-2 недели когда подтвердим что ничего не сломалось

67
decisions/2026-06-08-finland-vless-happ-dns-diag.md Normal file
View File

@@ -0,0 +1,67 @@
---
date: 2026-06-08
type: incident
tags: [vpn, finland, vless, happ, xray, reality, dns, podkop]
aliases: [finland5870 vless не работает, Happ DNS 8.8.8.8]
status: in-progress
---
# Finland5870 VLESS «не работает» — диагностика (продолжить завтра)
Жалоба Олега: vless на `202.71.12.186` не работает (общий сервер для всех клиентов, не только Сергей).
Симптом проявился на Mac Олега через клиент **Happ** (профиль «🇫🇮Финляндия»).
## Что установлено ТВЁРДО
### Сервер исправен
- `202.71.12.186` = **finland5870.com**, ISP **Hostkey AS57043 Helsinki**, биллинг/панель **AdminVPS** (`my.adminvps.ru`). НЕ Singapore (у Сергея в README гео ошибочно — поправить).
- Доступ: только **root, key-only, через jump** = code-server. Рабочая схема:
`ssh root@100.70.92.138` (Mac-ключ id_ed25519) → оттуда `ssh root@202.71.12.186` (ключом code-server).
Прямой `ssh -J` с Mac НЕ работает (на target лежит ключ code-server, не Mac). Прямой вход с Mac запрещён by design.
- `amnezia-xray` **running**, Restarts=0, слушает **:9443** (НЕ :443!). Сервер ребутался 2026-06-07 ~20:43 UTC, всё поднялось (restart=always).
- На `:443` ничего нет и не было (нет haproxy/nginx/контейнера) — клиентские конфиги на :443 битые в принципе.
### Актуальные Reality-параметры (server.json + *.key)
| Поле | Значение |
|---|---|
| Порт | `9443` |
| pbk (publicKey) | `WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw` |
| sid (shortId) | `2721326dfa367e20` |
| dest / SNI | `www.googletagmanager.com` |
| flow | `xtls-rprx-vision` |
| UUID (4 шт) | `20cb0525-057f-4976-b876-4c257f214d1d`, `c22b6e34-ceca-4977-97a0-2b1e6b4035a7`, `1e70e2a1-da17-4f7a-b835-56e9b37c600b`, `a2deaa61-9645-4d77-b5f7-8a1978da690d` |
Старые (битые) параметры, гулявшие у клиентов: порт `443`, pbk `duDwOkEDWQUnY_oMjDGlUFvUFBdCSxo5fiudmGL4XgQ`, sid `cc75ad57d3b0bb9b` — сменились при пересборке xray в конце апреля (после malware-инцидента 24.04, см. [[2026-04-24-finland-vps-malware-cleanup]]).
### Reality из РФ проходит — РКН НЕ душит
- e2e через code-server (xray-клиент, актуальные параметры) → выход `202.71.12.186` FI/HOSTKEY. ✅
- openssl с Mac (РФ, без VPN) → `202.71.12.186:9443`, SNI googletagmanager: TCP 20ms, отдаёт **Google-сертификат** `*.google-analytics.com`, Verify OK. ✅
- → фрагментация для обхода DPI НЕ нужна.
## КОРЕНЬ проблемы на Mac (Happ)
1. **Фрагментация Happ ломала канал.** В конфиге было `outbound proxy → sockopt.dialerProxy="antifilter"` → socks `127.0.0.1:10810`. Фрагментатор на 10810 мёртв (история крашей `tag=antifilter ping ... io: read/write on closed pipe`). Весь vless заворачивался в мёртвый 10810.
**СДЕЛАНО: Настройки Happ → Туннель → «Использовать фрагментирование» = ВЫКЛ.** (Reality и так проходит, фрагментация лишняя.)
2. **DNS-замок (главный нерешённый).** Happ резолвит домены через DoH `https://8.8.8.8/dns-query` (Google). Логи Happ забиты:
`[Error] app/dns: failed to retrieve response for www.google.com > Post "https://8.8.8.8/dns-query": context deadline exceeded`
→ все резолвы валятся → Happ считает `all outbound return -1` → рвёт туннель (после старта порты 108xx гаснут).
- Google DoH `8.8.8.8` **заблокирован из РФ напрямую** (проверено: пусто).
- DoH 8.8.8.8 в конфиге маршрутизируется через proxy (vless), но всё равно timeout даже после отключения фрагментации.
- При этом в `access.log` 21:50 были УСПЕШНЫЕ `socks-in >> proxy` (vless-data из РФ ходил) — значит канал способен работать, спотыкается именно DNS.
## TODO завтра
1. **Сменить DNS-резолвер в Happ** (routing-набор «RoscomVPN» задаёт DoH 8.8.8.8 + 77.88.8.8). Google 8.8.8.8 из РФ дохлый. Варианты:
- Yandex DoH правильным endpoint (`77.88.8.8/dns-query` отдаёт «Not Found» — путь неверный; проверить `https://common.dot.dns.yandex.net/dns-query`).
- Cloudflare `https://1.1.1.1/dns-query` через proxy.
- Или plain `1.1.1.1`/`8.8.8.8:53` через proxy вместо DoH.
2. После DNS-фикса проверить: подключить Happ → `lsof 10808` живёт → `curl --socks5-hostname 127.0.0.1:10808 https://api.ipify.org` + youtube.
3. Решить раздачу остальным клиентам (Сергей/Бенелюкс/Знаменское/Lipki): у кого конфиг на `:443`/старый pbk — перевыпустить на `9443`/`WxwIoi`/`2721326`.
4. Поправить КБ: гео finland5870 (Сергей README: Singapore→Finland), старые vless-ссылки на :443 в notes/snippets, путаница Hostkey vs AdminVPS.
## Рабочая vless-ссылка (актуальная, проверена e2e)
```
vless://20cb0525-057f-4976-b876-4c257f214d1d@202.71.12.186:9443?type=tcp&security=reality&fp=chrome&sni=www.googletagmanager.com&pbk=WxwIoiVyCkAoQ05xHEcRnTCTvK0uXfEmaGB-C7wPPBw&sid=2721326dfa367e20&flow=xtls-rprx-vision&encryption=none#Finland-9443
```
Связано: [[../projects/dttb/finland-hostkey-vps]], [[../projects/sergey/README]], [[2026-04-24-finland-vps-malware-cleanup]]

148
decisions/2026-06-08-swarmclaw-lxc135-deploy.md Normal file
View File

@@ -0,0 +1,148 @@
---
date: 2026-06-08
type: decision
tags: [dttb, swarmclaw, openclaw, orchestrator, lxc, docker]
---
# SwarmClaw — оркестратор-надстройка над openclaw (LXC 135)
## Контекст
Олег искал «аналог openclaw — оркестратор + удобный + самообучение». По ходу выяснилось:
1. У openclaw **самообучение уже работает** (Dreaming, embeddings ready, recall с concept-tagging + spaced repetition — см. правку [[openclaw]]). Менять движок не нужно.
2. **SwarmClaw** ([github.com/swarmclawai/swarmclaw](https://github.com/swarmclawai/swarmclaw)) — это не замена, а **control-plane НАД openclaw**: рой агентов, делегирование, расписания, дашборд, и подключение существующих openclaw-gateway. Ровно «оркестратор» из запроса, без миграции стека.
Решение: поставить SwarmClaw на Proxmox (не Mac-app — тот умирает с ноутом) как постоянный дирижёр над Антошкой.
## Где живёт
| Параметр | Значение |
|----------|----------|
| Proxmox LXC | **135** (hostname `swarmclaw`) |
| IP | 10.0.0.135/24, gw 10.0.0.1 |
| ОС | Debian 12, unprivileged + `nesting=1,keyctl=1` |
| Ресурсы | 2 vCPU / 4 GB RAM / 16 GB (rootfs на `work`) |
| Рантайм | Docker 29.5 + compose, образ `ghcr.io/swarmclawai/swarmclaw:latest` |
| Каталог | `/opt/swarmclaw` (репо), данные volume `./data:/app/data` |
| Доступ | `pct exec 135 -- bash`; dashboard `http://10.0.0.135:3456` |
## Доступ к UI/API
- **URL:** `http://10.0.0.135:3456` (LAN/NetBird), слушает `0.0.0.0:3456-3457`.
- **ACCESS_KEY:** `OL260380eg` (сменён 2026-06-12 по просьбе Олега; первичный `4613e7d0…` больше не действует) — он же cookie `sc_auth` для API. Хранится в `/opt/swarmclaw/.env.local`; смена = правка файла + `docker compose up -d --force-recreate` + `repatch-ctxwin.sh`.
- Auth: `POST /api/auth {"key":"..."}` → cookie, либо header `Cookie: sc_auth=<KEY>`. `getAccessKey()=process.env.ACCESS_KEY`, `validateAccessKey` сравнивает строкой.
## Что настроено
1. **Провайдер OmniRoute** (`custom`, OpenAI-compatible):
- `baseUrl=http://10.0.0.179:20128/v1`, `requiresApiKey:false` (внутренний, отдаёт каталог без ключа).
- Каталог 58 моделей; инференс `cc/claude-opus-4-8` подтверждён (stream chat.completions).
2. **Агент «Dirizhyor»** (id `0d388a87`) — provider `omniroute`, model `cc/claude-opus-4-8`.
3. **openclaw-gateway как control-plane:**
- credential `cred_62caf5d0f0de` (provider `openclaw`, зашифрованный gateway-token).
- gateway profile `gateway-0eaf65b0` «Antoshka (openclaw 137)», endpoint `http://10.0.0.239:18789`, `isDefault:true`.
- openclaw gateway token: `20bfbdfed25b87b211a6faa60db3ab8fac75fb5100958ac8` (`gateway.auth.mode=token` на LXC 137).
- device спарен и **approved** на openclaw (`openclaw devices` → 10.0.0.135, `operator.admin`).
- connect `ok:true`.
## Грабли (важно для будущего)
1. **ACCESS_KEY жил только в `/app/.env.local` внутри контейнера** (не в volume). Пересоздание/обновление образа → новый ключ → запертый вход. **Фикс:** скопировал `ACCESS_KEY` (+`CREDENTIAL_SECRET` если будет) в **хостовый** `/opt/swarmclaw/.env.local` (он `env_file` в compose) → ключ постоянен через пересоздания. `CREDENTIAL_SECRET` дополнительно лежит в volume `data/credential-secret`.
2. **Auth rate-limit:** 5 неудачных попыток с IP → лок 15 мин (`authRateLimitMap`, in-memory). Перебор форматов auth (Bearer/x-api-key — оба неверные) триггерит. **Правильный auth — только cookie `sc_auth`.** Сброс лока — `docker compose up -d --force-recreate` (in-memory обнуляется, ключ из env_file сохраняется).
3. **Подключение openclaw требует approve device-pairing.** SwarmClaw `manualConnect` хардкодит `useDeviceAuth=true` (протокол v4, `auth:{token}` + device-signature). openclaw в token-mode создаёт **pending pairing** → пока не сделать `openclaw devices approve <requestId>` на LXC 137, connect молча `{"ok":false}`. Token-only handshake (proto4, `auth.token`, scopes `operator.admin`) проверен рабочим. После approve — connect `ok:true`, device в Paired.
4. **`/api/openclaw/doctor``spawn openclaw ENOENT`** — в контейнере нет bundled `openclaw` CLI; связь идёт по WS, не через CLI. Безвредно.
5. **DNS-FakeIP не словили** (в отличие от LXC 137): github/docker.com резолвятся честно через `1.1.1.1/8.8.8.8` даже без NetBird на 135. NetBird не ставил.
6. Локаль в LXC не настроена (`locale: Cannot set LC_*`) — косметика, при желании `locale-gen en_US.UTF-8`.
7. **Агент отвечал `Error: Missing credentials … OPENAI_API_KEY`** хотя OmniRoute ключ не требует. Причина: OpenAI-совместимый клиент внутри SwarmClaw отказывается слать запрос без непустого `apiKey`. **Фикс:** создать dummy-credential (`POST /api/credentials {provider:omniroute, apiKey:"omniroute-noauth-dummy"}``cred_0d2feda42f7b`) и привязать к провайдеру (`requiresApiKey:true` + `credentialId`) И к агенту (`PUT /api/agents/<id>` — PATCH даёт 405). OmniRoute ключ игнорирует. После — агент Dirizhyor отвечает на Opus 4.8 (проверено: «работает», + сам диагностировал второй агент через tools).
8. **UI «No agents yet» + циклический логин в Chrome** = браузер держал старый JS-бандл (в логах `Failed to find Server Action`), ломались Server Actions (вход и загрузка). Сервер исправен (REST API через NPM HTTPS отдаёт auth+agents). Лечится чистым браузером (Yandex/инкогнито сработали сразу) или Clear site data в Chrome. SW/PWA нет, контейнер стабилен (0 рестартов).
9. **Дефолтный агент Assistant/«Ассистент»** упорно падал `Claude CLI not found`. Корень в коде: `agent-runtime-config.ts``provider = seed.provider || 'claude-cli'` (хардкод-фоллбек). У default слетал/пустел provider → фоллбек на claude-cli (в контейнере нет). `POST /api/agents` не даёт задать фиксированный `id`, `PUT /api/agents/default` для пустого не помог. **Фикс: прямой `INSERT OR REPLACE INTO agents` в `data/swarmclaw.db`** — id=`default`, data = копия Dirizhyor (omniroute/opus/cred). App подхватывает без рестарта (loadAgents читает свежо). Теперь оба агента на OmniRoute/Opus.
10. **«Session not found» при тесте через curl** — нельзя слать в произвольный `agent-chat-*` ID; сессия создаётся UI/отдельно. Не баг агента — артефакт диагностики. Реальные сессии (созданные в UI) работают (`completed`).
11. **Gateway health «не обновлялась 30 мин / статус неизвестно»**у RPC `/api/openclaw/gateway` есть только connect/disconnect/reload-mode; health-поле профиля (`status`,`lastCheckedAt`) обновляет фоновый probe, не RPC. `gateway.connect{profileId}``ok:true` (связь рабочая), но индикатор остаётся `unknown`. Косметика мониторинга, на работу не влияет.
## База знаний (vault) подключена к агентам — 2026-06-08
Олег: «подключить базу данных так же, как у code-server и openclaw». SwarmClaw НЕ имеет folder-RAG как openclaw (`memorySearch.extraPaths`) — его memory это agent-memory (dream/graph). Поэтому путь = **как у code-server**: агент через файловые tools работает в каталоге vault.
- **Vault склонирован в volume:** `git clone https://oleg:***@git.dttb.ru/oleg/knowledge-base``/opt/swarmclaw/data/knowledge-base` (1286 md, 19M). Именно в `data/` (volume), иначе контейнер `/app/data` его не видит.
- **Агенты настроены на vault:** `PUT /api/agents/<id>``workspace=/app/data/knowledge-base` (Dirizhyor + Ассистент). `workspaceAccess` через PUT не сохранился, но не нужен — агент читает через `shell`/`files` tools.
- **Проверено:** на вопрос про openclaw агент сам сделал `grep -ril openclaw /app/data/knowledge-base/projects/dttb` → прочитал `openclaw.md` → ответил точно (LXC 137, 10.0.0.239, 100.70.167.54). RAG-доступ работает.
- **Автообновление:** `/root/kb-pull-swarm.sh` (cron `*/15` на LXC 135) — `git pull` vault из Gitea. Как kb-pull у openclaw 137.
### Встроенный Knowledge-раздел (доп. путь, по запросу Олега)
SwarmClaw имеет раздел **Knowledge** (`/api/knowledge`), и агент использует его **автоматически**: `prompt-builder` + `selectKnowledgeCitations` инжектят релевантные куски в контекст с цитатами (отдельного tool нет; `knowledge_search`/`knowledge_store` как tools удалены). Поиск — текстовое сходство (jaccard, не embeddings) — для фактов норм.
- **Импортировано 189 entries** (`projects`, `decisions`, `snippets`, `claude-memory`, `templates` — без `daily`/`notes` шума): скрипт POST `/api/knowledge {title,content,sourcePath}` по каждому .md. 0 ошибок.
- **Ре-синк:** `/root/kb-knowledge-sync.sh` (cron `30 3 * * *`) — git pull + удалить наши entries (по `sourcePath` префиксу) + импорт заново. Иначе POST плодит дубли (нет upsert).
- **Итог — два механизма:** (1) Knowledge entries → авто-контекст с цитатами (UI-раздел); (2) файловый workspace → агент grep'ает всю базу (свежее, `*/15`). Дополняют друг друга.
## OmniRoute «out of usage» = баг версии (2026-06-09)
Агенты на `cc/claude-opus-4-8` начали падать `400 You're out of extra usage`. Оказалось — НЕ лимит Max, а баг устаревшего OmniRoute (стоял 3.8.7, актуально 3.8.16). Обновление вылечило. Грабля апдейта: entry-point переехал `app/server.js``dist/server.js` → поправлен `ExecStart` в `omniroute.service` (иначе crash-loop). Подробно — [[../claude-memory/omniroute]] + memory `feedback_omniroute_update`. Агенты SwarmClaw остаются на **Opus 4.8** (Sonnet Олега не устроил).
## iPad/iPhone Safari — чаты не отвечали (2026-06-09)
На Mac (Chromium/Yandex) чаты работали, на iPad Safari открывалось, но ответы агента не приходили. Причина — чат отдаёт ответ через **SSE** (`text/event-stream` из `POST /api/chats/[id]/chat`), а NPM (nginx) по умолчанию буферизирует proxy → Safari iOS/iPadOS строг к буферизированному стриму. **Фикс — `advanced_config` у NPM-хоста #32:**
```
proxy_buffering off;
proxy_request_buffering off;
proxy_set_header X-Accel-Buffering no;
proxy_read_timeout 3600s;
proxy_send_timeout 3600s;
```
После reload — чаты на iPad заработали. Покрывает и iPhone. (Применять к любому SSE/стрим-сервису за NPM.)
## NetBird-доступ для агентов (2026-06-09)
Чтобы агенты SwarmClaw дотягивались до хостов в NetBird-сети (`100.70.x`: openclaw, серверы клиентов и т.д.).
- **NetBird-клиент на LXC 135** (host): `curl -fsSL https://pkgs.netbird.io/install.sh | sh` (v0.72.2). Работает в unprivileged-LXC через `nesting=1` + kernel WireGuard (wt0; `/dev/net/tun` НЕ нужен, как на 137). Autostart (`systemctl enable`).
- **setup-key создан через API** (PAT из этого же файла, группа Claude-Diag `d7jra32fadhs73dmqv5g`): `netbird up --setup-key <KEY>`. IP **100.70.95.183**, `swarmclaw.netbird.cloud`.
- **Docker-контейнер дотягивается до 100.70.x БЕЗ доп. настройки** — контейнер → default gw (host) → host route `100.70.0.0/16 dev wt0` + Docker bridge MASQUERADE. Проверено: контейнер → `100.70.167.54:18789` (openclaw) → http 200. Интернет (github/docker для kb-pull) работает одновременно, DNS не сломан (resolv.conf остался 1.1.1.1/8.8.8.8).
- **ГРАБЛЯ: только по IP, не по именам.** Magic-DNS `*.netbird.cloud` в контейнере НЕ резолвится — `search dttb.ru` + wildcard `*.dttb.ru` превращают `openclaw.netbird.cloud``openclaw.netbird.cloud.dttb.ru``10.0.0.195` (NPM) → connect fail. Агент, ходивший по имени, «не мог работать с NetBird». **Фикс:** в systemPrompt обоих агентов добавлена инструкция ходить по IP `100.70.x` (адреса в базе), не по `*.netbird.cloud`. По IP — http 200 (проверено агентом через shell). Если нужен доступ по именам — настраивать NetBird magic-DNS в контейнере (пока не делали, по IP достаточно).
## Управление Антошкой агентом — что реально может (2026-06-10)
Device SwarmClaw (10.0.0.135) спарен на openclaw с `operator.admin` (approve сделан при настройке gateway, pending больше нет — агент Дирижёр советовал повторный approve зря).
- **Агентские openclaw-tools:** `openclaw_nodes` (список openclaw-узлов + exec-команды; **НЕ** cron — `action cron` → «Unknown nodes action») и `openclaw_workspace` (backup/rollback/history конфига). Их **надо явно включить** в `agent.tools` — по умолчанию у агента их нет (поэтому Дирижёр сначала не мог рулить Антошкой). Включены для Dirizhyor + Ассистента.
- **Грабля: `agent.gatewayProfileId`** переключает chat-модель агента на gateway-провайдера (openclaw model «default») → `MODEL_NOT_FOUND 404`, агент перестаёт отвечать. **НЕ ставить** `gatewayProfileId` на агенте; openclaw_nodes сам берёт дефолтный gateway-профиль. Оставлять `gatewayProfileId: null`, provider `omniroute`.
- **Полное управление (cron, agent-files SOUL/IDENTITY/.., models, deploy)** — только через UI (Providers → профиль «Antoshka») или SwarmClaw API напрямую (`/api/openclaw/{cron,agent-files,models,...}?profileId=gateway-0eaf65b0` с cookie `sc_auth`). Через агентский чат cron/файлы НЕ редактируются.
## Окно контекста агента = 8192 (баг!) → патч на 200K (2026-06-12)
Дирижёр жаловался на «ограничение окна» и просил пересадить себя на `claude-cli` + Anthropic-ключ. **Корень — НЕ модель и НЕ Max-лимит:** `getContextWindowSize(provider, model)` (`src/lib/server/context-manager.ts`) для незнакомого custom-провайдера `omniroute` не находит его ни в `PROVIDER_CONTEXT_WINDOWS[model]` (там `claude-opus-4-6`, нет `cc/claude-opus-4-8`), ни в `PROVIDER_DEFAULT_WINDOWS[provider]` (есть `anthropic/openclaw/google`, нет `omniroute`) → **fallback `8_192`**. При 4.8k токенов агент уже «на 58%» и паникует. OmniRoute при этом реально отдаёт `context_length: 1000000` для `cc/claude-opus-4-8`.
- **Чистого API-пути нет** — окна зашиты в бандл, `model_overrides` про подмену модели (heartbeat), provider-config `contextWindow` нигде не читается.
- **Фикс — патч каталога окон в бандле:** добавлен `omniroute:2e5` в `PROVIDER_DEFAULT_WINDOWS` (чанк `/app/.next/server/chunks/src_lib_server_06.*.js`, паттерн `goose:2e5,openclaw:128e3``...,omniroute:2e5,openclaw:128e3`). Проверено: `context-status``contextWindow: 200000`. Бэкап чанка `.bak-ctxwin`.
- **200K, не 1M:** консервативно (гарантированно для Opus). 1M ставить только после проверки, что Max-тракт `cc/*` реально принимает >200K (иначе переполнение → ошибка).
- **Устойчивость:** патч в бандле образа — слетает при `--force-recreate`/обновлении. Скрипт `/opt/swarmclaw/repatch-ctxwin.sh` переприменяет (idempotent). Запускать после каждого `docker compose pull`/update SwarmClaw.
- **Вывод про claude-cli:** не нужен. Ключ Anthropic не давать.
### НАСТОЯЩИЙ корень «контекст кончается за 2-3 запроса» (2026-06-12)
Размер окна оказался вторичен. Олег: «было 200, всё равно за 2-3 запроса кончается». Замер по OmniRoute `call_logs` (`/root/.omniroute/storage.sqlite`, поле `tokens_in`): простой запрос «привет» = **~33-36K tokens_in** (из них cache_read ~33K — кэшируется, но **занимает окно**). А SwarmClaw `context-status` показывал лишь **5.6K** — он НЕ учитывает в индикаторе системный промпт + **схемы инструментов** + knowledge-инжект. Отсюда иллюзия «3%» при реальных 16-18% на пустой запрос, и окно тает в ~6× быстрее.
- **Главный пожиратель — схемы 24 инструментов** в каждом запросе (browser, replicate, image_gen, google_workspace, swarmdock, manage_* — жирные JSON-схемы). **Урезал tools 24→9** (ядро: shell, execute, files, edit_file, web, memory, delegate, openclaw_nodes, schedule_wake) → tokens_in упал **33K → 3K (×11)**. Проверено замером.
- Knowledge (189 записей, ~270K ток суммарно) инжектится чанками **по релевантности** (CHUNK_TARGET_CHARS=2200), на «привет» не грузится — не постоянный оверхед, не трогал.
- **Как мерить:** `sqlite3 /root/.omniroute/storage.sqlite "SELECT tokens_in,tokens_cache_read FROM call_logs WHERE model LIKE '%opus-4-8%' ORDER BY timestamp DESC LIMIT 5"` на LXC 132.
- Урезаны Dirizhyor (0d388a87) + Ассистент (default, был сломан 0 tools — восстановлен через БД-INSERT). Прочие агенты Олега (Pochtalion/Бухгалтер/Бенелюкс/НИИКН-Ассистент/Nastavnik) — по 7 tools, не трогал.
## Картинки/скриншоты в чат (2026-06-12)
- **Канал vision работает** — проверено end-to-end: upload PNG (`POST /api/upload`, header `x-filename`, → `data/uploads/`, `resolveImagePath` читает файл → base64 → `image_url` формат → OmniRoute → `cc/claude-opus-4-8` (input_modalities text+image) → агент описал картинку.
- **Из коробки работают:** вставка `Cmd+V` (`handlePaste` ловит `image/*` из clipboard) + кнопка «Add image». Vision-гейта по провайдеру НЕТ (не блокирует custom omniroute).
- **Drag&drop НЕ был реализован** (в `chat-input.tsx` не было `onDrop`). **Допатчил:** добавил `handleDrop/handleDragOver/handleDragLeave` + state `isDragging` + `onDrop` на корневой div (переиспользует `uploadAndAdd`). Патч сохранён: **`/opt/swarmclaw/dragdrop.patch`** (`git apply`).
- **Требует пересборки образа** (`docker compose build``npm ci` из кэша, переедет `next build` ~5-10 мин, затем `docker compose up -d`).
- **ОТКАЧЕНО 2026-06-12:** сборка `next build` шла слишком долго/молча, Олег не дождался, drag&drop так и не доехал до контейнера → `git checkout -- src/components/input/chat-input.tsx`, сборку убил. В src и контейнере чисто (0 `handleDrop`). Патч-файл `/opt/swarmclaw/dragdrop.patch` оставлен — при желании доделать: `git apply dragdrop.patch && docker compose build && docker compose up -d`. **Вставка Cmd+V и кнопка «Add image» работают и без него.**
## Грабля: урезка tools сломала создание агентов (2026-06-12)
После урезки Дирижёра 24→9 tools (ради контекста) он **перестал создавать агентов** — был убран **`manage_platform`** (именно он управляет агентами: create/assign; «не та ветка» = путаница агента про параллельные `branches` суб-агентов в `subagent.ts`, не git). **Фикс:** вернул Дирижёру `manage_platform` + `spawn_subagent` (он оркестратор роя) → tools=11, создание агентов работает (проверено: создал TestBot99). **Урок:** при урезке tools у агента-оркестратора НЕ убирать `manage_platform`/`spawn_subagent`/`delegate_to_agent` — это его рабочие инструменты. Рядовым агентам (7 tools) они не нужны.
## Обновление версии образа (2026-06-14: 1.9.38 → 1.9.39)
Процедура на LXC 135 (через `pct exec 135`): бэкап БД `cp /opt/swarmclaw/data/swarmclaw.db{,.bak-preXXXX}``cd /opt/swarmclaw && docker compose pull && docker compose up -d`**`bash repatch-ctxwin.sh` ОБЯЗАТЕЛЬНО** (патч `omniroute:2e5`=200K живёт в `/app/.next/server/chunks` контейнера, слетает при recreate; без него `getContextWindowSize` fallback = 8192 → агенты на Opus режутся до 8K). Проверка: `docker exec swarmclaw-swarmclaw-1 grep version /app/package.json`, `auth HTTP=200` ключом из `.env.local` (`OL260380eg`, **не** первичный `4613e7d0…`), `/api/agents` отдаёт список.
- 1.9.39 — packaging-релиз (npm publish pending, Docker готов, macOS desktop zip/нотаризация); функциональных изменений для сервера нет. На ghcr `:latest` == `:v1.9.39`.
- Откат: старый образ 1.9.38 (`sha256:d1d102a4…`) остаётся локально; восстановить из `.bak-pre1939` + запустить прежний образ.
## Схема API (для будущих правок headless)
- `POST /api/providers``{id,name,baseUrl,models[],requiresApiKey,isEnabled}` (type всегда `custom`), хранит JSON в таблице `provider_configs`.
- `POST /api/agents` → zod `AgentCreateSchema`; обяз. `name`,`provider`; `ollamaMode` только `local|cloud|null` (не `off`).
- `POST /api/credentials``{provider,name,apiKey}`.
- `POST /api/gateways``{name,endpoint,credentialId,isDefault}`.
- `POST /api/openclaw/gateway` → RPC `{method:"gateway.connect",params:{url,token}|{profileId}}`.
- БД: `/opt/swarmclaw/data/swarmclaw.db` (sqlite, таблицы `*_configs/profiles/agents/credentials` как `id+data JSON`), `memory.db`, `logs.db`.
## Домен swarm.dttb.ru (2026-06-08)
- **NPM proxy host #32** (LXC 103, 10.0.0.195): `swarm.dttb.ru``10.0.0.135:3456`, WSS on, block_exploits.
- **DNS:** wildcard `*.dttb.ru` есть только во **внутреннем** DNS (роутер) — http в LAN/NetBird заработал сразу. Публично wildcard НЕТ (каждый поддомен = отдельная A-запись в SpaceWeb). Добавил `swarm A 176.62.183.186` через [[../snippets/spaceweb-dns-api]] (`add-a`, **один вызов** — зона сверена до/после, 23→24 записи, ничего не задето; бэкап `/tmp/dttb_zone_before.txt`).
- **HTTPS/LE — ГОТОВО:** DNS пропагировался за ~90 сек, LE cert выпущен (NPM cert **id 118**, до 2026-09-06), `ssl_forced` on, проверено `https://swarm.dttb.ru/api/healthz → 200`. Грабля NPM API: LE cert принимает только `meta:{}` (с полями → "additional properties"); email/agree NPM подставляет сам. Challenge падал, пока DNS не пропагировался — не из-за meta.
- **Итог доступа:** `https://swarm.dttb.ru` (публично, за NPM+auth) и `http://swarm.dttb.ru` (LAN/NetBird). Вход — cookie `sc_auth` / ACCESS_KEY.
## TODO / опционально
- Снести Mac-app `SwarmClaw.app` (или оставить как клиент).
- Маппинг openclaw starter-агентов на gateway (роли/теги) — через UI.
- Самообучение SwarmClaw (`conversation-to-skill`) — **полуручное** (draft→approve), не автономное; для настоящего автообучения остаётся openclaw Dreaming.
## Связано
- [[openclaw]] — основной бот (LXC 137), теперь под управлением SwarmClaw
- [[2026-05-06-openclaw-opus-4-7-via-max-cliproxy]]

52
decisions/2026-06-11-niikn-opyt-arhiv-100mb.md Normal file
View File

@@ -0,0 +1,52 @@
# НИИКН: нарезка папки «Опыт» (Закупка Соловки) в архивы ≤100 МБ
> **Финал (v3 RAR):** после жалоб («zip не открывается», «кракозябры в именах», «.z01 без формата»)
> всё перепаковано в **RAR5** скриптом `/tmp/repack4.py` + rar 7.12 (rarlab, /tmp/rar):
> бины → независимые `N-NNN.rar` (≤94 МБ raw, store), файлы >99 МБ → тома `N-ТОМА-имя.partN.rar` (-v95m).
> 1735 RAR, 115 ГБ, покрытие 5287/5287, rc=0 все, `rar t` ОК, скачивание через шару проверено.
> RAR5 хранит имена в юникоде — проблема кодировок снята архитектурно. Ссылка та же:
> **https://niikn.com/s/kqH46Jrjnb4ri3q**
>
> **Уроки:** (1) Info-ZIP `zip` на Ubuntu НЕ ставит UTF-8 флаг имён даже с LC_ALL=C.UTF-8 и не пишет
> Unicode extra (0x7075) → Проводник читает имена как CP866 → кракозябры. Питоновский `zipfile`
> флаг ставит, а в split-наборах флаг можно выставить патчем бита 11 в local header (.z01, offset 10
> после маркера PK0708) и central dir (последний .zip, rfind PK0102 +8). (2) Split-zip (.z01) не открывают
> ни Проводник, ни Archive Utility, а .z01 у людей «файл без формата». (3) Для русских офисов сразу
> делать RAR-тома `.partN.rar` — двойной клик любой части открывает весь набор.
## История ниже (v1 zip-тома → v2 независимые zip) — этапы, оставлено для контекста
**Дата:** 2026-06-11
**Задача:** папку по шаре https://niikn.com/s/c3kwLWRa8dKX848 сжать в файлы до 100 МБ (лимит закупочной площадки).
## Исходник
- Владелец: `maksimmaul@gmail.com`, путь `Закупка Соловки/Опыт`
- 46 папок (146), 5287 файлов, 115 ГиБ — договоры, акты ГИКЭ, УПД (PDF/ZIP/SIG)
- Внутри есть одиночные PDF до 336 МБ → одиночными зипами не обойтись, только multi-volume
## Решение
- Работа целиком на VM 108 (192.168.1.200, datadir `/mnt/ncdata`), без перегона данных по сети
- Бенчмарк: deflate -1 даёт всего 2.7% на PDF-сканах при 42 МБ/с → выбран **store (-0)**, IO-bound
- `zip -rq -0 -s 95m` на каждую папку: тома по 95 МиБ = 99 614 720 байт — меньше «100 МБ» и в MiB, и в десятичных МБ
- Выход: `Закупка Соловки/Опыт-архивы-100мб/<N>/<N>.zip + <N>.z01…` — по подпапке на объект
- Регистрация: `occ files:scan --path=...`, владелец 33:33
- Ссылка создана через OCS API c app-password бота Максимки (LXC 114, `/root/.clawdbot/nextcloud-creds.env`)
## Результат (v2 после жалобы «zip не открывается»)
Первая версия (46 multi-volume архивов по папкам) не открывалась у людей двойным кликом —
Проводник/маковский Архиватор не умеют split-zip. Перепаковано скриптом `/tmp/repack.py`:
- файлы ≤94 МБ → **независимые обычные zip ≤95 МБ** (`N-partNNN.zip`, bin-packing в порядке обхода)
- файлы 9499 МБ → одиночный zip (`N-файл-….zip`)
- 278 файлов >99 МБ (docx/pdf-сканы до 700 МБ!) → тома `-s 95m` только на сам файл (`N-ТОМА-….zip+.z01…`)
- Итого 1728 файлов, 115 ГБ; покрытие сверено: 4986+23+278 = 5287 файлов источника
- `ПРОЧТИ-МЕНЯ.txt` с инструкцией лежит в корне шары
- **Публичная ссылка: https://niikn.com/s/kqH46Jrjnb4ri3q** (read-only); скачивание part-zip проверено end-to-end
- Диск VM 108: /mnt/ncdata 93% — после загрузки на площадку папку-дубль можно удалить
## Грабли/заметки
- Публичная шара c3kw… read-only (permissions 17) — заливать через неё нельзя, поэтому писали в datadir + scan
- **Split-zip (.z01) не открывает ни Проводник, ни Archive Utility** — только WinRAR/7-Zip и только при всех томах рядом; для людей по умолчанию делать независимые zip, тома — лишь где файл сам больше лимита
- zip rc=16 «cannot update a split archive» = коллизия имени архива: в 14/Акты ГИКЭ два разных файла с одинаковым именем «1.31. Акт ГИКЭ…» (в подпапках 1.31 и 1.16, версии отличаются на 9.7 КБ) — второй набор назван «дубль из 1.16», Максиму стоит разобраться, какая версия верная
- Скрипты и логи на VM 108: `/tmp/zip-opyt.sh|.log` (v1), `/tmp/repack.py`, `/tmp/repack.log` (v2)
#niikn #nextcloud #закупки

84
decisions/2026-06-15-unifi-controller-homelab.md Normal file
View File

@@ -0,0 +1,84 @@
---
date: 2026-06-15
type: decision
tags: [decision, dttb, unifi, proxmox, lxc, network]
---
# UniFi Network Application на home lab — LXC 140 (2026-06-15)
## Задача
Развернуть контроллер UniFi (Network Application) на Proxmox home lab (10.0.0.250) + домен `unifi.dttb.ru`.
## Итог
- **LXC 140 `unifi`** — Debian 12, unprivileged + nesting/keyctl, Docker compose
- IP **10.0.0.196** (статика), nameserver **1.1.1.1**
- Ресурсы: 2 vCPU / 3 GB RAM / 16 GB диск (**rootfs на `work`** — `local-lvm` забит на 90%)
- Стек: `docker.io/mongo:4.4` + `docker.io/linuxserver/unifi-network-application:latest`, persistent bind-mount `/opt/unifi/{config,db}`
- Web UI: **https://10.0.0.196:8443** (302 на логин — поднялся), inform на :8080
- Домен: **unifi.dttb.ru** (NPM proxy host #36 → HTTPS 10.0.0.196:8443, WSS) + Let's Encrypt
## КОРЕНЬ (важная грабля): MongoDB 4.4, не выше
Хост HP Z800 = 2× **Xeon X5672 (Westmere)****без AVX** (`grep avx /proc/cpuinfo` пусто).
MongoDB **5.0+** (и 7.0, который ставит стандартный community-script `ct/unifi.sh`) требует AVX и падает с **`Illegal instruction`**.
LXC видит CPU хоста напрямую — маскировки нет. → берём **mongo:4.4** (последняя версия без AVX; UniFi 8.x поддерживает Mongo 3.67.0).
Проверка живости: `docker logs unifi-db``restarts=0`, «Waiting for connections», app подключился. Падений нет.
Native-установка на Debian 12 отпала: MongoDB 4.4 под bookworm в репах нет (4.4 собран под bullseye/libssl1.1). Docker-стек `mongo:4.4` самодостаточен и обходит это. Заодно это тот же стек, что отлажен на Передельках ([[2026-04-16-unifi-migration-peredelki]], там bind-mount решал сброс БД).
## Грабля 2: ghcr.io виснет из РФ
`lscr.io/linuxserver/...` редиректит на **ghcr.io** → закачка встала на 0 KB/s (compose висел). `mongo:4.4` с docker.io скачался нормально.
→ Образ переключён на **`docker.io/linuxserver/unifi-network-application:latest`** (linuxserver публикует и туда, и в ghcr). Скорость 1.2 MB/s. Если опять затык — NetBird Trance→finland exit или docker registry mirror.
## Домен и SSL (процедура как для omni — [[2026-05-26-omni-domain-and-update]])
DNS dttb.ru — на **Spaceweb** (нет публичного wildcard, каждый поддомен записью вручную).
1. `unifi.dttb.ru` → публично NXDOMAIN (DoH 1.1.1.1; с Mac `dig` хайджачится NetBird — [[feedback_dttb_dns_split_view]]).
2. Добавлена A-запись через Spaceweb API **одним** вызовом (НЕ в цикле — `editMain` циклом ломает зону):
`POST https://api.sweb.ru/domains/dns``editMain action=add name=unifi type=A value=176.62.183.186``result:true`.
3. Negative-cache LE Boulder + 1.1.1.1 (TTL ~600) → ждать ~10 мин после первой неудачной попытки, потом выпуск.
4. NPM proxy host #36 создан (backend HTTPS 10.0.0.196:8443, WSS вкл). Cert Let's Encrypt **id 126** (exp 2026-09-13) выпущен и привязан (`ssl_forced`, http2).
Проверка: `https://unifi.dttb.ru`**302 `/setup/`** (свежий контроллер), сертификат CN=unifi.dttb.ru issued by Let's Encrypt YE1.
## Доступы
- Proxmox: `ssh root@10.0.0.250` (1qaz!QAZ), `pct ... 140`
- Контейнер: `pct exec 140 -- ...`; compose в `/opt/unifi/`
- MongoDB (внутр.): user `unifi` / `Un1fiM0ngo2026`, db `unifi`/`unifi_stat`
- UniFi UI: https://10.0.0.196:8443 или https://unifi.dttb.ru — **первый вход = создание admin-аккаунта** (контроллер пустой)
- Spaceweb DNS: `it5870yand` / `1qaz!QAZ` (api.sweb.ru)
- NPM: 10.0.0.195:81, `it5870@yandex.ru` / `1qaz!QAZ`
## Управление
```bash
ssh root@10.0.0.250
pct exec 140 -- bash -c 'cd /opt/unifi && docker compose ps'
pct exec 140 -- bash -c 'cd /opt/unifi && docker compose restart'
pct exec 140 -- bash -c 'cd /opt/unifi && docker compose pull && docker compose up -d' # апдейт
```
## Adoption устройств (2026-06-15, позже в тот же день)
Принимали **USW-Lite-16-PoE** (10.0.0.111) и **U7-LR**. Грабли:
### U7-LR не появлялся — физика порта свитча
Точка была в **порту 5** свитча: PoE подавался (Class 4, 4.41 Вт), но **линк down**, 0 пакетов, DHCP не получала; после передёргивания PoE детект вообще пропал (Class Unknown). → **битый порт/патч-корд**. Переткнули в **порт 8** — ожила: IP 10.0.0.243, линк 1000F, firmware 8.0.12. Вывод: «питание есть, а линка нет» = сначала кабель/порт, не контроллер.
### Stuck «Принятие» + ничего не автообнаруживается — Docker inform-host
Контроллер в Docker **bridge** отдавал устройствам inform-host = свой внутренний IP контейнера (`172.18.0.x`), до которого устройства не достучаться → adoption висит. Плюс заводская точка ищет `http://unifi:8080/inform`, а DNS-записи `unifi` не было.
**Фикс (рабочий, оставлен):**
1. **DNS на OpenWrt 10.0.0.1**: `uci add dhcp domain``name=unifi ip=10.0.0.196` → commit + `dnsmasq restart`. Теперь заводские устройства сами находят контроллер (как на Передельках).
2. **`system_ip=10.0.0.196`** в `/opt/unifi/config/data/system.properties` (был закомментирован `# system_ip=a.b.c.d`) + `docker restart unifi-network-application`. В логе стало `Current System IP: 10.0.0.196` (было `172.18.0.3`). Контроллер теперь отдаёт верный inform-host.
3. `set-inform http://10.0.0.196:8080/inform` на устройствах (ssh ubnt/ubnt) для немедленного появления.
Результат: оба `adopted:true` (проверено `docker exec unifi-db mongo unifi --eval 'db.device.find(...)'`).
### ⚠️ host networking НЕ применять (пробовал — откатил)
Переводил оба контейнера в `network_mode: host`**сломалось**:
- linuxserver-образ кэширует mongo-URI в `system.properties` при первом старте и НЕ перечитывает env → в host остался `unifi-db:27017` (не резолвится) → `MongoTimeoutException`, краш-луп.
- контроллер в host автодетектил `Current System IP: 172.18.0.1` (docker-бридж), не 10.0.0.196.
Правильное решение — **оставить bridge + `system_ip` override**, а не host. Бэкап bridge-compose: `/opt/unifi/docker-compose.yml.bak-bridge-*`.
## Что осталось / на заметку
- **USG не adopt'ится — его физически нет в сети** (нет DHCP-аренды, нет на живых портах свитча, в БД контроллера 0 следов). Сначала запитать/воткнуть в живой порт; как появится — с DNS `unifi` + `system_ip` примется сам.
- `.196` — статика; убедиться, что вне DHCP-пула OpenWrt.
- При смене IP контроллера — обновить и DNS `unifi`, и `system_ip`.

54
decisions/2026-06-17-niikn-deco-p9-backhaul-degradation.md Normal file
View File

@@ -0,0 +1,54 @@
---
date: 2026-06-17
type: project
tags: [niikn, network, deco, wifi]
---
# НИИКН: лаги WiFi — деградация powerline-бэкбона Deco P9
## Симптом
Пользователи жалуются на лаги сети «на TP-Link точках». Олег попросил перезагрузить
MikroTik — перезагрузил (был исправен: аптайм 1н5д, CPU 8%, 0 дропов/флапов). Ребут
проблему не решает, т.к. причина не в роутере.
## Инвентарь Deco (за MikroTik 192.168.1.1, режим AP, IP по DHCP)
| IP | MAC | роль |
|----|-----|------|
| **.124** | 14:EB:B6:DC:D9:24 | **главная (root) — кабель в ether2** |
| .12 | 14:EB:B6:DC:DC:3C | сателлит |
| .23 | 14:EB:B6:DC:9E:B0 | сателлит |
| .18 | 00:5F:67:7A:28:BA | сателлит |
| .52 | 1C:61:B4:10:D1:2A | сателлит |
Все 5 MAC учатся на bridge → **ether2** (единственный аплинк). Сателлиты идут до
сети через главную по магистрали.
## Диагноз (пинг С САМОГО MikroTik, без NetBird)
| Deco | loss | avg-rtt |
|------|------|---------|
| .124 (root, кабель) | **0%** | **0.5 мс** |
| .12 | 5% | 36 мс |
| .23 | 10% | 45 мс |
| .18 | 15% | 44 мс |
| .52 | 15% | 32 мс |
Проводная root — идеальна. Все сателлиты — 5-15% потерь и 30-45 мс на LAN (норма <1 мс/0%).
**Вывод: деградировал бэкбон между сателлитами и главной.** Deco P9 = **powerline-mesh**
(магистраль по электропроводке, HomePlug AV2), а не WiFi-mesh — тот же класс проблемы,
что в [[2026-06-04-lipki-deco-p9-powerline-degradation]].
Доп. признак: 15.06 сателлит .12 не получал DHCP («offering lease … without success»).
## Что проверить/сделать (по убыванию эффекта)
1. **Каждую Deco — напрямую в стенную розетку.** НЕ в удлинитель/сетевой фильтр/«пилот»/UPS —
они режут/глушат HomePlug-сигнал. Это причина №1 (так было в Липках).
2. Сателлиты и главная — **на одной фазе/линии** щитка (powerline плохо ходит между фазами).
3. Убрать с той же линии мощные потребители-помехи (БП, зарядки, лазерники, ИБП).
4. **Лучшее постоянное решение:** соединить сателлиты с главной **кабелем Ethernet**
(у P9 2×GbE, поддерживает ethernet-backhaul) → бэкбон перестаёт зависеть от проводки.
Если протянуть нельзя — заменить на WiFi-mesh (Deco X-серия).
5. Детали по каждой точке (тип линка powerline/wifi/ethernet, «signal: poor/good») видны
только в **приложении Deco** (облако TP-Link) — у роутера этой телеметрии нет.
## Чего НЕ делать
- Не списывать на MikroTik (исправен) и не «лечить» ребутом роутера — не помогает.

81
decisions/2026-06-18-german-hermes-agent-deploy.md Normal file
View File

@@ -0,0 +1,81 @@
---
date: 2026-06-18
tags: [decision, ai, hermes, telegram, lxc, assistant]
---
# German — Hermes Agent как личный супер-ассистент Олега (LXC 141)
## Контекст
Олег попросил поставить **Hermes Agent** (NousResearch, open-source, MIT, Python, model-agnostic — из ресёрча [[../notes/claude/2026-06-08-145004-найди-аналог-openclaw-для-меня-нужен-аркестратор-и]]) на homelab. Сначала — «для тестирования самого Hermes через Telegram», затем расширил: **настроить как супер-помощника с полным доступом к базе знаний**. Имя — **Герман** (German).
## Что развёрнуто
- **LXC 141 `german`** (10.0.0.141, Debian 12, 2 vCPU / 3 GB / 12 GB на local-lvm, nesting, unprivileged, onboot=1). Создан из `debian-12-standard 12.12`.
- **Hermes Agent v0.16.0** — установлен официальным `install.sh --non-interactive --skip-setup`. Код `/usr/local/lib/hermes-agent`, данные `/root/.hermes` (uv + managed Node).
- **Telegram-бот** «Герман Непомнящий» **@german_dttb_bot** (id 8885932329). Gateway = systemd `hermes-german.service` (`hermes gateway run --replace`, Restart=always, drain 210s, crash-guard, NoNewPrivileges/PrivateTmp).
## Модель
- Провайдер **OmniRoute** (OpenAI-совместимый шлюз на LXC 132): `base_url http://10.0.0.179:20128/v1`.
- **Активная модель: `cc/claude-opus-4-8`** (Opus 4.8 via Max). **Fallback-цепочка (2026-06-21): `cx/gpt-5.5` → `cc/claude-sonnet-4-6`; `api_max_retries: 1`.** (Было `api_max_retries: 6` + fallback `cc/sonnet-4-6` первым → German отвечал по **533с/9мин**: 6 ретраев с бэкоффом на каждой капнутой Max-модели. Фикс: 1 попытка + независимый `cx/gpt-5.5` первым → failover за секунды. Ответ 13с после фикса.) Fallback в Hermes **срабатывает на 400 «out of extra usage»** (проверено по логам cc→fallback) — поэтому рабочий fallback критичен. ⚠️ Прежний fallback `kr/claude-sonnet-4.5` сдох: **OmniRoute потерял креды провайдера Kiro** («No credentials for provider: kiro», 2026-06-19) → German падал ПОЛНОСТЬЮ (и primary капнут, и fallback мёртв). `cx/gpt-5.5` выбран финальным fallback потому, что Codex — **отдельный провайдер, не Max** → переживает полный кап Max-квоты. Проверено: cx/gpt-5.5 работает через агентский цикл с тулами+KB.
- **КОРЕНЬ 400 «out of extra usage» (исправленное понимание):** это НЕ персистентное исчерпание квоты. Олег верно заметил: «если бы лимиты — ты (Claude на Opus 4.8) тоже бы не работал». Проверка по факту 2026-06-18 ~22:30: `curl cc/claude-opus-4-8` к OmniRoute с system-prompt 14B / 2КБ / 8КБ → **все 200**. То есть 400 в 19:11/19:18 был **транзиентным** — краткий кап 5-часового окна Max в момент пиковой нагрузки (Max делят this-session/German/openclaw/swarmclaw/code-server). Окно отпускает само. Если 400 участятся — включить overflow (pay-as-you-go) на claude.ai/settings/usage.
- ⚠️ **`cc/claude-opus-4-8` (Max) ФЛАПАЕТ** `400: You're out of extra usage`: прямой curl к OmniRoute то проходит (19:16), то нет — реальные запросы Олега падали (19:11 «Привет», 19:18 «Бенелюкс», разные request_id). Причина: включённая Max-квота Opus в текущем окне исчерпана (overflow/pay-as-you-go выключен), а окно делят **openclaw (cc/opus-4-7) + swarmclaw (cc/opus-4-8) + code-server** через тот же OmniRoute `cc/*`.
- **400 — non-retryable BadRequestError → fallback НЕ срабатывает** (Hermes уводит в fallback только на rate-limit/5xx/connection). Поэтому fallback на Sonnet от Opus-400 не спасает.
- **Решение: primary = `kr/claude-sonnet-4.5`** (free, Kiro/AWS, не флапает, не ест Max-квоту, не конкурирует с другими ботами Олега). Проверено: запрос «Бенелюкс» через тулы вернул корректную сводку по KB.
- Вернуть Opus, когда окно Max освободится / включён overflow: `sed -i 's|kr/claude-sonnet-4.5|cc/claude-opus-4-8|' /root/.hermes/config.yaml && systemctl restart hermes-german`.
- Доп. правки сессии: отключён `display.platforms.telegram.streaming` (было задвоение сообщений в Telegram); fallback-цепочка протестирована (формат `fallback_providers: [{provider,model,base_url}]`, ключ берётся из env — работает), но снята, т.к. от 400 не помогает.
- Ключ — `OPENAI_API_KEY` + `OPENAI_BASE_URL` в `/root/.hermes/.env` (chmod 600).
- `auxiliary` (vision/web_extract/compression/session_search) → `provider: main` — иначе лезли бы в OpenRouter (ключа нет) и падали.
- ⚠️ **Грабля для будущего:** оба воркфлоу-ревьюера по коду утверждали, что на приватный IP-эндпоинт `OPENAI_API_KEY` из env «гейтится по хосту» и нужен `model.api_key: ${OPENAI_API_KEY}` в config.yaml, иначе 401. **Эмпирически опровергнуто** — CLI- и gateway-вызовы к 10.0.0.179 проходят с env-ключом без `model.api_key`. Если когда-нибудь начнёт давать 401 на первом вызове модели — добавить `api_key: ${OPENAI_API_KEY}` в секцию `model:` и `systemctl restart hermes-german`.
## База знаний (KB)
- Зеркало vault клонировано в **`/root/german/knowledge-base`** (workspace = `/root/german`, systemd `WorkingDirectory`).
- Обновление: `/root/kb-pull.sh` (cron `*/15`) делает `git fetch + git reset --hard origin/main` — это **read-only зеркало** (правки агента там затираются; для своих заметок у него `/root/german/notes` + native memory).
- **Безопасность кред:** из `.git/config` workspace убран токен Gitea (был `https://oleg:TOKEN@...`); remote сделан tokenless, креды вынесены в `/root/.git-credentials` (chmod 600, вне workspace).
- Доступ Германа к KB: тулсеты **file** (read_file/grep) + **terminal**. Семантического индекса нет — навигация через `knowledge-base/CLAUDE.md` → grep. Это прописано в `SOUL.md`.
## Конфиг (ключевое, `/root/.hermes/config.yaml`, 600)
- `platform_toolsets.telegram`**явный список** `[web, terminal, file, memory, todo, skills, session_search, tts]` (+ kanban по дефолту).
- **Почему не пресет `hermes-telegram`:** security-ревью (читало `toolsets.py:440`) показало, что пресет тянет полный core-набор (**browser, execute_code, computer_use**), а `disabled_toolsets` их НЕ убирает (категории — web/browser/terminal/code_execution/image_gen). Для бота с доступом к секретам это лишние каналы исхода. Проверено `hermes tools --summary`: на Telegram **9/26 тулов, browser/code-exec/computer-use отсутствуют**.
- **web-поиск без ключей:** `web.backend: ddgs` (DuckDuckGo, бесплатно). Browser недоступен (требует BROWSERBASE_API_KEY) — веб через ddgs + `curl` в terminal.
- `SOUL.md` (личность «Герман», навигация по KB, правила безопасности) — 600.
- Прочее: `display.language: ru`, `session_reset: idle 2880m`, `memory_enabled`, `security.redact_secrets: true` + `tirith_enabled: true`, `stt` (faster-whisper base — голосовые транскрибируются).
## Безопасность — модель угроз
- **Доступ только у Олега**: `TELEGRAM_ALLOWED_USERS=1292155421`, `guest_mode: false`, `unauthorized_dm_behavior: ignore`. Проверено по коду (`telegram.py`/`authz_mixin.py`): пустой allowlist = deny-all, fail-closed. Чужие сообщения молча игнорируются.
- terminal=local + root = Герман может выполнять любой bash на 141 и читать секреты из KB. **Это намеренно** (DevOps-ассистент), защита держится на allowlist. Жёсткий systemd-сэндбокс (ProtectSystem/ProtectHome) не ставил — сломал бы функции. Будущее ужесточение: отдельный непривилегированный юзер.
- `redact_secrets: true` — секреты вычищаются из tool output/логов/ответов перед доставкой.
## Эксплуатация
- Статус/логи: `systemctl status hermes-german`; логи **в файлах** `/root/.hermes/logs/{gateway,agent}.log` (не в journal).
- Рестарт после правок config/SOUL: `systemctl restart hermes-german` (дренаж до ~180с).
- Бэкапы конфигов: `/root/.hermes/config.yaml.bak.*`, `.env.bak.orig`.
- Эндпоинт-санити: `curl -s http://10.0.0.179:20128/v1/models` (должен отдавать cc/claude-opus-4-8).
## Проверено
- ✅ Установка, конфиг грузится, `hermes status` → Model cc/claude-opus-4-8 / Custom endpoint.
- ✅ End-to-end CLI: вопрос по KB → grep → верный ответ (IP openclaw 10.0.0.239).
- ✅ Прямой вызов OmniRoute cc/claude-opus-4-8 (стрим).
- ✅ Gateway: `✓ telegram connected` (polling), getMe ok, allowlist на Олега.
- ✅ Тулсет Telegram безопасен (без browser/code-exec/computer-use).
-**Live gateway-раунд-трип**: сообщение Олега «Привет» прошло Telegram→allowlist→OmniRoute→Anthropic (ключ резолвится в gateway без `model.api_key` — опасения ревью не подтвердились). На cc/opus упёрлись в квоту Max (400); на `kr/claude-sonnet-4.5` — KB-вопрос через тулы вернул верный IP.
## NetBird (добавлено 2026-06-18)
Чтобы German дотягивался до клиентских площадок в mesh (как openclaw/swarmclaw).
- **IP `100.70.99.82`**, `german.netbird.cloud`, группа **Claude-Diag**. Setup-key в [[../projects/dttb/credentials.md]] (`64DF527E-…`, создан через PAT/API).
- **Установка только через apt-репозиторий** `pkgs.netbird.io` — официальный `curl install.sh | sh` редиректит на `github.com/netbirdio/.../releases/download/v0.73.0/install.sh`, а **GitHub releases таймаутят из RU-сети** (connection timed out). Шаги: добавить ключ `pkgs.netbird.io/debian/public.key` в keyring + `deb [...] https://pkgs.netbird.io/debian stable main``apt install netbird` (v0.73.0). Работает в unprivileged-LXC через `nesting=1` + kernel WireGuard (wt0, tun не нужен).
- **Enroll с `--disable-dns`**: `netbird up --setup-key <KEY> --disable-dns --hostname german`. Это сознательно — на LXC 132/137 NetBird-DNS (resolv.conf через wt0) уже ломал связность; German держит свой `1.1.1.1`/`8.8.8.8` и ходит по IP. Magic-DNS `*.netbird.cloud` в контейнере НЕ резолвится (`search dttb.ru` хайджачит) — **только по IP 100.70.x**.
- Проверено: openclaw `100.70.167.54:18789` → 200; github/telegram/OmniRoute/DNS целы; `netbird` autostart enabled; hermes-german не пострадал.
## Веб-дашборд `german.dttb.ru` (добавлено 2026-06-26)
Родная веб-панель Hermes (`hermes dashboard`: чат + config + sessions + встроенный PTY-терминал), не путать с Open WebUI.
- **systemd `hermes-dashboard.service`** (рядом с gateway, не вместо): `hermes dashboard --host 0.0.0.0 --port 9119 --skip-build --no-open`, Restart=always, бинд `0.0.0.0:9119`.
- **Фронт пришлось собрать**: `web/dist` отсутствовал. `cd /usr/local/lib/hermes-agent/web && npm install && npm run build` → vite кладёт в `../hermes_cli/web_dist` (outDir в vite.config, НЕ `web/dist`), оттуда `--skip-build` и отдаёт. node v22 (warning EBADENGINE про node≥24 — не критично).
- **NPM** #40 (10.0.0.195) `german.dttb.ru``10.0.0.141:9119`, force-SSL+WSS+HTTP2, block-exploits. LE-серт **id130** (HTTP-01, до 24.09.2026). NPM v2.14: cert-create только `meta:{}` (email/agree/dns_challenge = «additional properties»).
- **DNS**: публичный A `german.dttb.ru``176.62.183.186` добавлен через Spaceweb API (`editMain` `action:add`, один вызов — циклом ломает зону). Локально wildcard `*.dttb.ru``10.0.0.195` уже резолвил. Проверять пропагацию только DoH (8.8.8.8/resolve), `dig` хайджачится локальным DNS.
- **Аутентификация — `dashboard.basic_auth`** в `/root/.hermes/config.yaml`: `username: oleg`, `password_hash` (scrypt, через `plugins.dashboard_auth.basic.hash_password`), `secret` (32 байта hex), `session_ttl_seconds: 43200`, `public_url: https://german.dttb.ru`. Плейнтекст-пароль не хранится. Креды в [[../projects/dttb/credentials.md]]. Бэкап `config.yaml.bak-dashboard-20260626`.
- ⚠️ **ГЛАВНАЯ ГРАБЛЯ — `--insecure` отключает gate.** `should_require_auth(host, allow_public)`: non-loopback + `--insecure``auth_required=False` → активен легаси `_SESSION_TOKEN`-middleware (ephemeral токен, инжектится в loopback-HTML), basic-cookie-gate `gated_auth_middleware` становится no-op. Симптом: `/auth/password-login``{"ok":true}` (кука минтится), но `/api/auth/me` + все данные→401. Провайдер/секрет/токен/куки исправны (доказано: офлайн `_unsign(live_token, _resolve_secret(cfg))`→payload ок; round-trip провайдера→ok). **Фикс = убрать `--insecure`** (бинд `0.0.0.0` без него: `auth_required=True`, провайдер `basic`, и `0.0.0.0` принимает любой Host — иначе явный бинд на IP даёт 400 «Invalid Host header» на NPM-домен). Hermes сам это документирует: `dashboard_register.py:218` «To require login (LAN/public): hermes dashboard --host 0.0.0.0». Лог-маркер: `Dashboard binding to 0.0.0.0 with OAuth auth gate enabled. Providers: basic`.
- Проверено end-to-end через NPM: `https://german.dttb.ru` login `oleg``/api/auth/me`→200, `/api/sessions`→200; http→301; серт CN german.dttb.ru. Telegram-gateway не задет (оба сервиса active+enabled).
## TODO / на будущее
- Fallback-цепочка (cc/sonnet-4-6, kr/sonnet-4.5, cx/gpt-5.4) — формат `fallback_providers` с `api_key_env` (НЕ `${VAR}` — путь резолва фолбэков не делает env-подстановку). Пока не ставил (primary надёжен).
- Настоящий web-search через self-hosted SearXNG (`SEARXNG_URL`) или ключ Tavily/Firecrawl — если ddgs будет мало.
- Рассмотреть запуск под non-root юзером для уменьшения blast radius.

164
decisions/2026-06-20-german-hermes-out-of-usage.md Normal file
View File

@@ -0,0 +1,164 @@
---
date: 2026-06-20
type: decision
tags: [dttb, german, hermes, omniroute, cliproxy, max, out-of-usage, troubleshooting]
---
# German (Hermes LXC 141) — `400 out of extra usage` на cc/* через OmniRoute
> **Handoff-документ.** Проблема НЕ закрыта полностью на 2026-06-20. Сделаны два смягчающих фикса (привязка аккаунта + retry-патч), но остаточные пики `out of usage` остаются. Окончательное решение — за Олегом (Extra usage / разгрузка нагрузки). Ниже — всё, чтобы продолжить без повторного прохода по тупикам.
## Симптом
German-бот (@german_dttb_bot, Hermes Agent v0.16.0, LXC 141) периодически отвечает ошибкой вместо ответа:
```
400 - You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
```
Интермиттентно: ~7-12% запросов cc/* падают, остальные 200. Бот «то работает, то нет».
## Что НЕ является причиной (проверено — НЕ тратить время заново)
1. **НЕ баг версии OmniRoute.** Обновил 3.8.29 → 3.8.30 (`npm install omniroute@latest` в `/root/.npm/_npx/cb5891f90ae65d14`, ExecStart уже `dist/server.js`). Ошибка осталась. (В 2026-06-09 похожая ошибка реально была багом 3.8.7 — но не в этот раз.)
2. **НЕ реальный лимит подписки Олега.** Скриншоты Claude Code Plan usage: 5h-limit 43→53%, Weekly 5-6%, Sonnet 0% — **свободно**. Олег прав: «лимитов нет».
3. **НЕ размер запроса.** Тест: контекст 357K симв (~90K токенов) → 200 на opus-4-7/opus-4-8/sonnet. Размер ни при чём.
## Архитектура (как cc/* доходит до Anthropic)
```
German (LXC 141) → OmniRoute (LXC 132, 10.0.0.179:20128) → cliproxy (/root/.cli-proxy-api:8319) → Anthropic Max OAuth
```
- В OmniRoute `provider_connections` (БД `/root/.omniroute/storage.sqlite`) — **два Claude-аккаунта**:
- `e8a70f39-564d-4529-a911-4b5d0a47e512` — priority 1, **перегружен**: SwarmClaw (8 агентов) + code-server жгут через него ~**13К `opus-4-8`/час** → сыпет 400/429/502/529.
- `883152e1-7160-4d5c-90eb-88822d50db31` = **`batlaew@gmail.com`** — рабочий аккаунт Олега (тот, что в скриншоте 53%), свободнее, почти всё 200.
- Ключи German/openclaw в OmniRoute `api_keys`: **`claw`** и **`test-key`** (оба `sk-225e902dc95ff…` — это и есть `OPENAI_API_KEY` в `/root/.hermes/.env` German). SwarmClaw-нагрузка (13К) идёт БЕЗ `api_key_name` (мастер-путь), отдельно от этих ключей.
## Главная диагностическая команда (с неё начинать в будущем)
```bash
# на LXC 132 (через pct exec 132 с Proxmox 10.0.0.250 root/1qaz!QAZ):
sqlite3 -column /root/.omniroute/storage.sqlite \
"SELECT model, account, status, COUNT(*) n FROM call_logs WHERE model LIKE '%opus%' GROUP BY model,account,status ORDER BY n DESC LIMIT 20"
```
Поля `account` + `status` сразу показывают, какой аккаунт сыпет 400 и какой 200. **Не гадать про версию/лимит — смотреть сюда.**
## Что СДЕЛАНО (два смягчающих фикса)
### 1. Привязка ключей German/openclaw к рабочему аккаунту
Ключи `claw`/`test-key` имели пустой `allowed_connections` → ротация кидала German на перегруженный `e8a70f39`. Привязал к `batlaew`:
```bash
# на LXC 132. Формат allowed_connections = JSON-массив id (JSON.parse, length>0 ограничивает)
sqlite3 /root/.omniroute/storage.sqlite \
"UPDATE api_keys SET allowed_connections='[\"883152e1-7160-4d5c-90eb-88822d50db31\"]' WHERE name IN ('claw','test-key')"
systemctl restart omniroute # сбросить кэш ключей
```
- Бэкап БД: `/root/.omniroute/storage.sqlite.bak-keybind`.
- Проверено: 10/10 запросов German-ключом → account=batlaew. SwarmClaw не затронут (другой путь).
- Откат: `UPDATE api_keys SET allowed_connections=NULL WHERE name IN ('claw','test-key')`.
### 2. Retry-патч Hermes (out-of-usage → retryable)
До патча Hermes считал `400 out of extra usage` фатальной (`Aborting`). Сделал retryable:
- Файл: `/usr/local/lib/hermes-agent/agent/error_classifier.py` — добавлен паттерн `status_code==400 and "out of extra usage" in error_msg → FailoverReason.rate_limit, retryable=True` (перед «── 2. HTTP status code classification»).
- `config.yaml`: `agent.api_max_retries` 3 → 5.
- Проверено вызовом `classify_api_error`: на этот текст RETRYABLE=True, обычные 400 остаются non-retryable.
- Бэкап: `error_classifier.py.bak-outofusage`. **Переналожатель: `/root/hermes-patch-outofusage.py`** — запустить ПОСЛЕ обновления Hermes (патч в коде слетает).
## Текущий статус (на 2026-06-20 ~16:00)
- German **отвечает, когда нет пика** (проверено в логах: 14:16 inbound `?` → ответ; и прямыми тестами все модели 200).
- В **длинные пики** (>~50с, ретраи 5×40с не хватает) German всё ещё возвращает ошибку «model provider failed after retries».
- **Пульсация `out of usage` остаётся на ОБОИХ аккаунтах** (e8a70f39 и batlaew) периодически — ДАЖЕ при свободном 5h (53%). Это похоже на burst/моментную механику Anthropic Max, из логов OmniRoute до конца НЕ объяснено.
## Что осталось — варианты окончательного решения (ВЫБОР ОЛЕГА)
1. **Extra usage on**`claude.ai/settings/usage`, секция Extra usage (не Plan usage). Поднять spend limit → overflow в пик оплачивается, `out of usage` исчезает для ВСЕХ ботов. Самое прямое, платно, в биллинге Олега.
2. **Разгрузить главного пожирателя** — SwarmClaw (8 агентов) + code-server с `cc/claude-opus-4-8` (~13К/час) на Sonnet/меньше агентов → давление на Max-пул/burst падает.
3. **Восстановить не-Max тракт** для German (вывести из Max-пула). На 2026-06-20 ВСЕ мертвы: Kiro (`402`/нет кредов), Codex (`not supported`/таймаут), gemini-cli (`403` нет лицензии), GLM (`429` баланс 0).
4. Поднять retry-окно German ещё (api_max_retries + backoff) — пережидать и длинные пики, ценой задержки ответа на 1-2 мин (плохой UX).
## Связанные факты
- German модель: `config.yaml` `model.default: cc/claude-opus-4-7`, fallback `cc/claude-haiku → claude/claude-haiku` (всё Max-tract; при пике все падают — fallback бесполезен, ретрай важнее). **Рекомендация:** рассмотреть `cc/claude-opus-4-8` как primary (Олег его юзает в Claude Code; в тестах не хуже).
- Доступ: Proxmox `10.0.0.250` root/`1qaz!QAZ``pct exec 141` (German) / `pct exec 132` (OmniRoute+cliproxy).
- Память: [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_omniroute_update]], [[../../.claude/projects/-Users-ai-knowledge-base/memory/project_german_hermes]].
- Деплой German: [[2026-06-18-german-hermes-agent-deploy]].
## Продолжение 2026-06-20 (вечер) — e8a70f39 МЁРТВ, изоляция невозможна
Олег выбрал «реанимировать e8a70f39» → **не сработало по жёсткой причине**:
- Флипнул `is_active=1` (priority 1). При первом master-вызове OmniRoute попытался обновить протухший токен (expired 06-16) и получил `Refresh token consumed (unrecoverable_refresh)`**авто-выключил аккаунт обратно** (`is_active=0`), вызов свалился на batlaew (200). Это и есть причина, почему e8a70f39 был выключен 06-16: его OAuth refresh-токен сожжён безвозвратно. **Поднять без свежего OAuth-логина нельзя.** БД вернулась в исходное сама (бэкап `storage.sqlite.bak-reactivate-e8a70f39`).
- **Вывод: рабочий Claude-аккаунт в OmniRoute РОВНО ОДИН — batlaew.** Двух-пуловая изоляция (фикс #1) больше неактуальна — изолировать не на что. Привязка ключей к batlaew стала бессмысленной (он и так единственный), но не вредит.
### Профиль «почему то работает, то нет» (опровергает «весь день без ошибок»)
German-ключи (claw/test-key) сегодня по часам: 09 `18×200/3×400/14×429`, 13 `2×200/**18×400**`, 14 `8×200/6×400`, **15 `24×200` (чисто)**, 16 `1×200/6×400`. То есть весь день **интермиттирующие burst-провалы**, худший в 13:00; в 15:00 — идеально. Олег тестировал в 16:xx → попал в burst. Спайки 1-в-1 со спайками `out of extra usage` у batlaew (09:5, 12:9, 13:21, 14:7, 16:7).
**«Лимитов нет» объясняется так:** дашборд **Plan usage** (5h 53%) — сглаженное среднее и burst не показывает. Блок `out of extra usage` — это потолок **Extra usage** (pay-as-you-go overflow), который стоит на **$0**. В момент пика суммарный спрос на batlaew (German + SwarmClaw + code-server, все сошлись на нём после смерти e8a70f39 06-16) превышает включённый в план объём, а раз overflow $0 — Anthropic жёстко режет вместо очереди.
### Сделано в этом проходе
- German default-модель `cc/claude-opus-4-7`**`cc/claude-opus-4-8`** (запрос Олега). Бэкап `config.yaml.bak-opus48`. Проверено: German-ключ → opus-4-8 → 200. *Внимание: opus-4-8 НЕ снижает out-of-usage — тот же аккаунт/пул.*
### Реальные варианты (e8a70f39 вычеркнут) — ВЫБОР ОЛЕГА
1. **Extra usage ON на batlaew** (`claude.ai/settings/usage` → Extra usage, не Plan) — единственное, что убирает out-of-usage насовсем при одном аккаунте. Платно, биллинг Олега. **Рекомендация #1.**
2. **Разгрузить burst-пожирателей** — SwarmClaw (8 агентов) + code-server с `cc/opus-4-8` на Sonnet/меньше агентов → суммарный пик влезает в план batlaew.
3. **Свежий OAuth второго Max-аккаунта** в OmniRoute (заново залогинить — хоть тот же, что был e8a70f39, хоть новый) → восстановить двух-пуловую изоляцию. Требует интерактивного OAuth (Олег).
4. Реальный backoff ретраев German (сейчас 5 ретраев летят за <1с — бесполезно против burst в секунды-минуту). Пережидать пик ценой задержки ответа.
## Продолжение 2026-06-20 (вечер-2) — СМЕНА СТРАТЕГИИ: почему Антошка работает, а German нет
Олег ткнул верно: **openclaw (Антошка) на том же OmniRoute/Opus 4.8 работает стабильно** → теория «account-level cap» неполна. Сравнил два бота эмпирически (call_logs) — **3 реальные разницы:**
1. **Объём.** Антошка (ключ `claw`) сегодня = 2 вызова; German (`test-key`) = 114 (+ master/SwarmClaw+codeserver 130). German — половина нагрузки batlaew и worst fail-rate (39/114=34%). Антошка «работает» во многом потому что лёгкий → редко попадает в burst.
2. **Фоллбэк-цепочка.** У German была `cc/claude-haiku → claude/claude-haiku` (ОБА Max → бьются в тот же `out of extra usage`, что и opus — проверено: sonnet-4-6 тоже ловит этот 400). У Антошки последний фоллбэк = **`kr/claude-sonnet-4.5`** (Kiro, FREE, не-Max) → когда Max в пике, Антошка уезжает на не-Max и продолжает отвечать.
3. **Пин ключа (КОРЕНЬ).** Фикс #1 (`allowed_connections=['883152e1'/batlaew]`) делался против перегруженного e8a70f39 — но тот **мёртв**. Пин же **запер German на единственном перегруженном batlaew**: эскейп-маршруты `kr/`/`cx/` ключом German отдавали **400** (connection-not-allowed). Пин из «защиты» превратился в «ловушку». [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]]: лечил симптом, корень — в своём же конфиге.
### Сделано (привёл German к схеме Антошки, всё в рамках моих прав, без биллинга)
1. **Снят пин** с `test-key` и `claw`: `UPDATE api_keys SET allowed_connections=NULL WHERE name IN ('test-key','claw')`. Теперь opus-4-8 всё равно → batlaew (других Max-аккаунтов нет), а kr//cx/ доходят до своих провайдеров. Проверено: до — kr/cx=400, после — opus-4-8=200, kr/cx доходят (402/timeout = флап free-пулов, но маршрут открыт).
2. **Фоллбэк-цепочка** German переписана как у Антошки: `cc/claude-sonnet-4-6 → kr/claude-sonnet-4.5 → cx/gpt-5.5` (выкинул мёртвый haiku→haiku). Бэкап `config.yaml.bak-fallback-*`.
3. Primary = `cc/claude-opus-4-8`. German стабилен (`NRestarts=0`), opus-4-8 → 200.
### Честный остаток (Олегу знать)
Это **не делает German неуязвимым** — free-эскейпы (Kiro/Codex/GLM) сейчас сами полудохлые (Kiro: «reached the limit» 402 / «fetch failed» 502 / 429; Codex throttled; GLM баланс 0). В ГЛУБОКИЙ burst, когда и batlaew capped, и free-пулы лежат — German всё ещё может блипнуть (как блипнул бы и Антошка под такой нагрузкой). German теперь **архитектурно равен** рабочему боту, а не сломан. Для полной неуязвимости при тяжёлой нагрузке всё равно нужно одно из: **Extra usage ON** на batlaew / **разгрузка master-пути** (SwarmClaw 8 агентов + code-server = вторая половина нагрузки batlaew) / **свежий 2-й Max-аккаунт** (OAuth). Возможный твик при рецидиве: снизить `api_max_retries` 5→3 (сейчас burst → шторм 5×4 тира вызовов, сам прогревает cap).
## Продолжение 2026-06-20 (вечер-3) — ДОКАЗАНО: это всё-таки account-level cap, протокол ни при чём
Олег давил: «дело не в лимитах, почему Антошка работает». Проверил гипотезу «формат запроса»:
- **Эндпоинт-разница реальна:** Антошка (`claw`) шлёт нативный Anthropic `/v1/messages` (`source_format=claude`), German (`test-key`) — OpenAI-формат `/v1/chat/completions`+`/v1/responses`. История: claw 448×200 / **0×400**; `/v1/messages` суммарно 355×200 / **0 out-of-usage**, а ВСЕ **396** `out of extra usage` — на `/v1/chat/completions`. Выглядело как корень.
- **Перевёл German primary на `provider: anthropic` + `/v1/messages`** (+ `ANTHROPIC_API_KEY` в .env). Подтвердил: трафик пошёл `path=/v1/messages source_format=claude`. **И всё равно поймал `out of extra usage` 400** (17:11/17:12 на opus-4-8 через /v1/messages; в 17:04 был 200 — т.е. интермиттентно).
- **РЕШАЮЩИЙ ТЕСТ:** бил `/v1/messages` opus-4-8 **обоими ключами** (claw Антошки + test-key German) залпами. В пик — оба 400, вне пика — оба 200×5. **Ключ Антошки ловит ту же ошибку.** Значит «0×400 у claw» в истории = следствие МАЛОГО ОБЪЁМА (claw сегодня 2 вызова против 114 у German), а не иммунитета протокола.
- **Вывод:** `out of extra usage`**account-level cap на batlaew, интермиттентный (burst)**, бьёт по ЛЮБОМУ пути (/v1/messages и /chat/completions) и ЛЮБОЙ модели (opus/sonnet/haiku — всё проверено). Антошка «работает» только потому что лёгкий. Дашборд Олега = **Plan usage** (5h-среднее, 53%), а режет потолок **Extra usage** (overflow) = $0. Это и есть лимит, просто не тот, что на дашборде.
- **Откат:** протокол-правку вернул к проверенному `provider: custom`+`/v1` (anthropic-режим не помог и не проверен на tool-нагрузке German — спекулятивная правка). `ANTHROPIC_API_KEY` убран. Бэкап отката `config.yaml.bak-anthropic-170948`.
### Итоговое состояние German (что осталось включённым)
- primary `cc/claude-opus-4-8` (custom/openai-compat, проверенный путь), фоллбэк `cc/sonnet-4-6 → kr/sonnet-4.5 → cx/gpt-5.5`, ключ **распинён** (NULL). active, opus-4-8→200.
### Финал (без иллюзий): убрать `out of extra usage` можно только так
1. **Extra usage ON на batlaew**`claude.ai/settings/usage` → секция **Extra usage** (не Plan). Это буквально то, что просит текст ошибки. Снимает cap для всех.
2. **Срезать конкурентную burst-нагрузку на batlaew:** SwarmClaw (8 агентов) + code-server (cc/opus-4-8) = вторая половина трафика, льют параллельно → создают пики. Throttle/Sonnet/меньше агентов.
3. German усиливает пики своим retry-штормом (5 ретраев × 4 тира мгновенно). Снизить `api_max_retries` 5→3 — меньше шторм, меньше вклад в cap.
4. Свежий 2-й Max-аккаунт (OAuth) — изоляция German на отдельный пул.
## Продолжение 2026-06-20 (вечер-4) — SwarmClaw НЕ ест лимит + фикс «работает» через overloaded-backoff
Олег: «SwarmClaw 3 дня не юзаю, как он ест лимит?» — прав, проверил:
- **Master-путь на batlaew (opus) по дням: 06-17=268, 06-18=591, 06-19=82, 06-20=74.** Тяжёлый поток был 3 дня назад, сошёл на нет. SwarmClaw сейчас лимит НЕ ест — прежняя атрибуция неверна для текущего момента.
- **Крупнейший потребитель СЕЙЧАС — сам German:** opus-токены batlaew сегодня — test-key(German) **916K** fresh in / 877K cache; (master) 394K; claw(Антошка) 83K. German грузит большой KB-контекст в каждый ход × tool-loop → ест в 2.3× больше master и 11× больше Антошки. Антошка лёгкий → не упирается.
### Почему backoff раньше «не работал» (казалось мгновенным)
В логе 16:17 5 ретраев были на timestamp 16:17:10 — иллюзия от буферизации (`_buffer_vprint` флашится разом). Реально backoff ЕСТЬ: `conversation_loop.py:3439` `jittered_backoff(base_delay=2.0, max_delay=60.0)` + respects Retry-After. НО для `rate_limit` есть **eager-failover** (2764): при наличии фоллбэк-цепочки Hermes сразу прыгает на следующую модель, минуя ожидание opus — и каскадит через дохлые free-пулы (kr 400/cx 429) → быстро сдаётся.
### Фикс «чтобы работал» (выбор Олега делегирован мне)
1. **out-of-usage классифицирован как `FailoverReason.overloaded`** (было `rate_limit`) в `error_classifier.py:674`. overloaded НЕ триггерит eager-failover (2764 ловит только rate_limit/billing) → German **пережидает burst на самом opus-4-8 с backoff** (2с→60с jittered), а не каскадит на мёртвые фоллбэки. Проверено `classify_api_error`: out-of-usage→overloaded/retryable=True; обычная 400→model_not_found/non-retryable (узкий паттерн). Бэкап `error_classifier.py.bak-overloaded-*`, переналожатель `/root/hermes-patch-outofusage.py` обновлён (rate_limit→overloaded).
2. **`api_max_retries` 5→6** — окно пережидания ~1-2 мин (jittered 2с..60с × 6).
3. Сохранены: opus-4-8 primary, распин ключа, цепочка фоллбэков (теперь — последний резерв ПОСЛЕ ожидания opus).
**Механика:** batlaew кратко капается → German ждёт (2с,4с,8с…до 60с) и повторяет opus, ловя восстановление за ~1-2 мин, вместо мгновенной ошибки. Цена — в пик ответ на десятки секунд позже (но ОТВЕЧАЕТ). Это не победит длинный (>2 мин) аккаунт-аутаж, но такие редки; обычный burst — секунды. Полностью убирает out-of-usage всё равно только Extra usage ON / урезание контекста German (RAG вместо полного KB).
## Продолжение 2026-06-20 (вечер-5) — НАСТОЯЩЕЕ различие German vs Антошка: агентный burst
Олег: «какие ещё идеи, почему German не работает, а Антошка да». Проверил оставшиеся гипотезы на уровне запроса:
- **Per-key лимиты** (test-key vs claw): у обоих пусто — исключено.
- **Холодный кэш** (идея: German простаивает → cache_ttl 5m протухает → дорогой re-create): ОПРОВЕРГНУТО. German кэшируется нормально (3 дня: cache_read **1.5M** vs cache_creation 450K). Антошка кэш вообще не читает (read=0), но ему и не надо.
- **Тела запросов** (max_tokens/thinking): артефакты OmniRoute хранятся усечённо (~572 симв) → ненадёжно.
- **★ НАЙДЕНО — агентный burst вызовов:**
| | Антошка (claw) | German (test-key) |
|---|---|---|
| макс. opus-вызовов/мин | **1** | **8** (стабильно 6-7) |
| вызовов за 3 дня | 13 | 158 |
German — агентный (tool-loop): 1 сообщение Олега → каскад **6-8 Opus-вызовов/мин**, каждый тащит ~45K-контекст → ~360K Opus-токенов залпом в минуту. Антошка — разговорный, **1 вызов** на обращение. 5h-лимит Max **взвешенный** (Opus ~5× Sonnet), и минутный burst German пробивает мгновенную взвешенную планку Opus → `out of extra usage`. Дашборд (53%) = 5h-среднее, не минутный пик. **Это и есть «почему German, а не Антошка» — частота Opus-вызовов на сообщение (агентность vs разговорность), не формат/ключ/кэш/KB.**
### Сделано
- **`agent.max_turns` 80 → 25** (`goals.max_turns` 20 не трогал) — ограничивает размер burst: одна сложная задача больше не выстрелит до 80 Opus-вызовов подряд. Бэкап `config.yaml.bak-maxturns-*`. German active, opus-4-8→200.
### Полный набор активных мер для German (итог всей цепочки)
1. primary `cc/claude-opus-4-8`; ключ распинён (NULL); фоллбэк `cc/sonnet-4-6 → kr/sonnet-4.5 → cx/gpt-5.5` (резерв).
2. out-of-usage → `overloaded` (backoff-пережидание burst на opus, не каскад на дохлые фоллбэки) + `api_max_retries` 6.
3. `max_turns` 25 (меньше burst).
Остаточный полный фикс (если рецидив): **Sonnet 4.6 как primary** (в ~5× легче по весу Max, «Sonnet 0%» — почти без лимита) ИЛИ **Extra usage ON**.
## Урок (мне на будущее)
Я трижды выдал неверный диагноз (баг версии → реальный лимит → перегрузка пула), прежде чем дошёл до `call_logs` по `account`. **При `out of usage` на cc/* — СНАЧАЛА `call_logs` GROUP BY account,status, потом гипотезы.** См. [[../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_root_cause_recurring]].

48
decisions/2026-06-21-buzharovo-mcp-1c-deploy.md Normal file
View File

@@ -0,0 +1,48 @@
---
date: 2026-06-21
type: decision
tags: [buzharovo, 1c, mcp, mcp-1c, iis, claude-code]
---
# MCP-сервер mcp-1c к базе 1С Бужарово (RitmUl / Розница)
Развёрнут [feenlace/mcp-1c](https://github.com/feenlace/mcp-1c) — Claude Code читает метаданные и
выполняет SELECT-запросы к боевой базе **RitmUl** (1С:Розница 2.3.23.27) на [[projects/buzharovo/server1c]].
## Итоговая схема (работает end-to-end)
```
Mac (mcp-1c stdio, ~/.local/bin/mcp-1c v1.8.0)
→ NetBird → http://100.70.75.103:8080/mcp/hs/mcp-1c (Basic-Auth, юзер 1С)
→ IIS (app /mcp, пул 1CMCP «No Managed Code») → wsisapi.dll
→ кластер 1С Server1C:1541 → база RitmUl → расширение MCP_HTTPService
```
- **Клиент (Mac):** `~/.local/bin/mcp-1c` (darwin-amd64 v1.8.0). Зарегистрирован: `claude mcp add 1c --scope user -e MCP_1C_BASE_URL=http://100.70.75.103:8080/mcp/hs/mcp-1c -e MCP_1C_USER=… -e MCP_1C_PASSWORD=… -- ~/.local/bin/mcp-1c`. `claude mcp list → ✓ Connected`. Конфиг `~/.claude.json` chmod 600.
- **Расширение:** `MCP_HTTPService` (HTTP-сервис `MCPService`, RootURL `mcp-1c`) поставлено `mcp-1c.exe --install "Server1C\RitmUl" --server --db-user <админ ИБ> --db-password …`. Несёт свою роль `MCP_ОсновнаяРоль` (только `Use` на сервис, без привилег. режима).
- **Публикация:** IIS, приложение `/mcp``C:\inetpub\mcp` (`default.vrd` + `web.config`). Бинарь сервера: `C:\mcp-1c\mcp-1c.exe` (Windows).
- **Безопасность:** 8080 — firewall-правило `mcp-1c HTTP (NetBird only)` только из `100.64.0.0/10`; публичное IIS-правило для :80 отключено; Basic-Auth = пользователь 1С.
## Грабли (в порядке появления — все реальные)
1. **NetBird на server1c лежал** не из-за NetBird: DNS сервера указывал только на роутер `192.168.1.1`, у которого сдох резолвинг (даже `google.com`=0). `api.netbird.io` не резолвился → меш не вставал. Фикс: `netsh interface ipv4 set dnsservers Ethernet static 1.1.1.1 primary` + `8.8.8.8` (статикой, иначе DHCP перетирает). От админ-PowerShell (интерактивная не-админ сессия падала на CIM permission).
2. **WinRM с Мака** к server1c (5985, NetBird): pywinrm `transport='basic'` (NTLM отклоняется). Креды `dttb/1qaz!QAZ`, по сети — админ-токен.
3. **`/HTTPPort` не работает** в сборке 8.3.27.1606: ни headless (толстый клиент = GUI, дохнет в session 0), ни интерактивно (база открывается, порт не поднимается). Вариант self-host отвергнут.
4. **Веб-сервера и веб-модулей 1С не было** (платформа ставилась «только сервер»). Дистрибутив нашёлся локально по реестру `InstallSource` = `E:\Distr\Update\windows64full_8_3_27_1606\`. Доустановка модуля: `msiexec /i "…\1CEnterprise 8 (x86-64).msi" ADDLOCAL=WebServices,WebServices_RU /qn /norestart` → появились `wsisapi.dll`/`wsap24.dll`/`webinst.exe`. Затем `Install-WindowsFeature Web-Server,Web-CGI,Web-ISAPI-Ext,Web-ISAPI-Filter -IncludeManagementTools`.
5. **★ w3wp падал `0xc0000005`** (Application Error, faulting module «unknown»; VS JIT-отладчик ловил краш и вешал воркер — отключил `AeDebug Auto=0`). Причина — нативный ISAPI-модуль 1С в `DefaultAppPool`, куда грузится .NET CLR. **Фикс: отдельный пул «No Managed Code»** (`appcmd add apppool /name:1CMCP`; `set apppool /managedRuntimeVersion:"" /enable32BitAppOnWin64:false /processModel.loadUserProfile:true`; приложение `/mcp` → этот пул). VC++ redist не при чём (уже стоял). **Конфигуратор при републикации сбрасывает пул на DefaultAppPool — каждый раз возвращать 1CMCP.**
6. **rmngr-loop** на server1c был активен (2 ядра в idle) → новые веб-сессии висли (w3wp idle, ждёт кластер). Лечится известным рецептом: `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` (при 0 сессий). См. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]].
7. **★ vrd: HTTP-сервис расширения** не публикуется `publishByDefault`. Нужно `publishExtensionsByDefault="true"` — в Конфигураторе это галочка **«Публиковать HTTP сервисы расширений по умолчанию»** (вкладка «HTTP сервисы»). `webinst` так не умеет; правильный vrd сгенерил только Конфигуратор. Элемент сервиса — `<service name=… rootUrl=… enable="true">`.
## Не доделано
- **mcp_ro** (RO-юзер вместо интерим-`ПальмановаНВ`). Розница 2.x — сотни гранулярных ролей, единой «read-all» нет; обработчик без привилег. режима → нужны и роль сервиса `MCP_ОсновнаяРоль`, и право чтения данных. Прагматика: dedicated `mcp_ro` = `MCP_ОсновнаяРоль` + `ПолныеПрава` (через mcp-1c всё равно только SELECT). После создания: `claude mcp remove 1c` + re-add с `MCP_1C_USER=mcp_ro`.
## Запись/управление 1С (отложено — вернуться при необходимости)
Открытая (наша) версия — только чтение. **Единственный пишущий инструмент = `code_execute` (action="code")** в **Расширенной** версии mcp-1c (1 990 ₽/мес, 14 дней триал, регистрация feenlace.ru) — исполняет произвольный BSL в базе (создание/проведение документов, изменение справочников/регистров, обработки) со встроенной песочницей + подтверждением + аудитом. Pro-инструменты (4 990) — это анализ кода (семантический поиск, граф зависимостей, аудит безопасности), не запись.
Чтобы включить запись нужно: (1) Расширенная версия mcp-1c; (2) пользователь 1С с **правами на запись** (не RO); (3) переустановить расширение версией Расширенной.
**Риск:** боевая money-база + произвольный BSL от LLM = максимум риска. План безопасного PoC: тест-копия (restore `RitmUl_pre-mcp_*.bak` → SQL `RitmUl_test` → тест-ИБ `Server1C\RitmUl_test`), отладка записи там, на боевую RitmUl — только после. **2026-06-21 Олег решил отложить.**
## Безопасность лицензии
Лицензия 1С на server1c **неофициальная** — ничего, что её активирует/переактивирует, не трогать. Рестарт кластера и веб-сессии её не задевают (это просто сессии на чтение).

83
decisions/2026-06-22-buzharovo-podkop.md Normal file
View File

@@ -0,0 +1,83 @@
---
date: 2026-06-22
type: decision
tags: [buzharovo, podkop, openwrt, cudy, amneziawg, fakeip, telegram, netbird, network]
---
# Podkop для Бужарово — TR3000 во главе (обход блокировок, цель Telegram)
## Контекст
Нужен обход блокировок РКН на объекте Бужарово (стройрынок [[projects/buzharovo/README|Северный лес]]),
основная цель — рабочий **Telegram** на устройствах персонала. Объект — боевая розница:
[[projects/buzharovo/server1c|Server1C]] (`192.168.1.249`) + кассы `192.168.1.18`/`192.168.1.99` (ОФД-трафик).
Канонический стек обхода у Олега — [[snippets/podkop-reference|podkop + sing-box + AmneziaWG]] на роутерах Cudy.
Олег рассматривал два пути: (1) Cudy с podkop перед текущим роутером; (2) OpenWrt на гипервизоре/Windows-сервере, как в [[projects/niikn/openwrt-bypass|НИИКН]].
## Разведка сети (что выяснили)
Заходил на роутер `192.168.1.1` через Server1C (WinRM jump, `dttb/1qaz!QAZ`, plink по SSH). Ключевые находки:
- **Грабля диагностики:** из Server1C НЕЛЬЗЯ зондировать Бужарово по `192.168.1.x` — подсеть **совпадает с НИИКН** (тоже `192.168.1.0/24`), и NetBird-маршрут (`wt0`) уводит туда. `Find-NetRoute` для `.1/.18/.50/.99` → ifIndex `wt0`. Поэтому «`.1` = RouterOS `ROSSSH`, admin/пустой пароль, порт 2000» и «`.50` = OpenWrt dropbear» — это **MikroTik и VM101 НИИКН через NetBird-утечку**, НЕ Бужарово. Реальные хосты Бужарово видны только по настоящим MAC в `arp -a`.
- **Доступ к настоящему роутеру** получен через L2: на Server1C добавил непостоянный host-route `New-NetRoute 192.168.1.1/32 -InterfaceIndex 12 -NextHop 0.0.0.0 -PolicyStore ActiveStore` → пакеты на `.1` пошли по локальному LAN (MAC `80:af:ca` = Cudy), интернет сервера не пострадал. Маршрут потом убран.
- **Роутер Бужарово = Cudy WR6500H** (Wi-Fi 7 / BE6500), сток на базе **OpenWrt 21.02** (vendor-LuCI Cudy `git-25.217`, fw 2.3.15 от 07.08.2025). Публичный WAN `185.13.47.2`: открыты **443 (LuCI), 3389 (RDP→Server1C), 53 (DNS)**; **SSH/22 закрыт и на WAN, и на LAN**. LuCI-логин Cudy хэширует пароль `sha256(pw+salt)` в браузере + самоподписанный серт → headless-вход не проходит (403 = схема, не «неверный пароль»).
## Варианты
1. **podkop на самом WR6500H** — ❌. Wi-Fi 7 mainline OpenWrt не поддерживает (vanilla-образа нет, рефлаш невозможен), на стоке 21.02 sing-box/AmneziaWG не встанут, SSH выключен.
2. **OpenWrt на гипервизоре / Hyper-V на Server1C** (как НИИКН) — ❌. У Бужарово нет ни выделенного Proxmox, ни управляемого роутера, на которых держится схема НИИКН. Server1C — боевой Win2012R2 без ИБП (24+ краша/день), вешать на него сеть нельзя. Плюс объект мигрируют на HomeLab.
3. **Отдельная Cudy TR3000 с podkop, параллельно (Вариант A)** — WR6500H остаётся шлюзом, на нём `route 198.18.0.0/15 → TR3000` + DHCP DNS = TR3000. Рабочий, без double-NAT, но требует доступа к залоченному WR6500H LuCI.
4. **Отдельная Cudy TR3000 во главе (Вариант B)** — ✅ TR3000 = шлюз (NAT+DHCP+DNS+podkop), WR6500H → точка доступа (bridge, Wi-Fi 7 остаётся).
## Решение
**Вариант B — Cudy TR3000 во главе.** Выбор Олега: подкоп на самом шлюзе — простейшая и крепкая FakeIP-схема (как Sergey/Benelux/Olivier), не нужен хэндоф маршрут+DNS и доступ к залоченному WR6500H, меньше точек коллизий.
**Двойного NAT не будет при условии:** WR6500H перевести в **режим AP/bridge** (не router). Тогда единственный NAT — на TR3000, WR6500H лишь раздаёт Wi-Fi 7.
```mermaid
flowchart LR
NET([🌐 Internet]) --> TR[Cudy TR3000 · ШЛЮЗ<br/>podkop · DHCP · DNS<br/>LAN 192.168.1.1 · awg0→FI/SG]
subgraph LAN["LAN 192.168.1.0/24 — адресацию сохраняем"]
AP[WR6500H · режим AP/bridge<br/>Wi-Fi 7, без NAT]
S[Server1C .249]
K[Кассы .18 / .99 · ОФД]
end
TR --> LAN
S -. ОФД/1С/банки → напрямую .-> TR
classDef r fill:#3d2817,stroke:#d97757,color:#fff
class TR r
```
**Конфиг podkop (по канону [[snippets/podkop-reference]]):**
- Списки **точечно** `telegram` (+`meta`/`youtube` по нужде). ⛔ НЕ `russia_inside`/`russia_outside`.
- `connection_type=vpn`, `interface=awg0`, `disable_quic=1`, awg0 в firewall WAN-зоне.
- EXIT зарубежный (FI `78.17.4.225` или SG `202.71.12.186`), **новый AWG-peer** (свои ключи/IP, не переиспользовать НИИКН).
- **Безопасность для розницы:** точечные списки заворачивают в туннель ТОЛЬКО telegram-домены → кассы/ОФД/1С/банки идут напрямую (не через зарубежный выход).
## План миграции (минимум простоя)
1. TR3000 настроить на столе: LAN `192.168.1.1/24`, DHCP (статика касс/сервера сохранена), podkop как выше.
2. WR6500H → AP/bridge (DHCP off, патч-корд LAN-порт → TR3000), Wi-Fi 7 сохранить.
3. Перецепить WAN (2.5G-аплинк) из WR6500H в 2.5G-порт TR3000. **Если ISP биндит IP к MAC** — склонировать MAC WR6500H на WAN TR3000.
4. Проброс 3389 (RDP) НЕ восстанавливать — доступ к серверу только через NetBird.
5. Проверка: `nslookup telegram.org 127.0.0.42``198.18.x`; домен кассы/ОФД → реальный IP; `wg` handshake awg0 свежий.
## Последствия / открытые вопросы
- Нужна свободная **Cudy TR3000** (прошить vanilla OpenWrt — деплой Олега). Олег ставит готовый сервер, Claude даёт конфиг.
- Подтвердить EXIT (FI/SG) — под него поднять AWG-peer.
- Уточнить: публичный `185.13.47.2` статический и привязан ли к MAC роутера у провайдера.
- WR6500H оставить как AP (ради Wi-Fi 7) или снять.
- RDP 3389 — увести в NetBird (рекомендовано) или оставить публичный проброс.
**Побочные проблемы (отдельно от podkop, но важные):**
- ⚠️ **Коллизия подсетей** Бужарово↔НИИКН (обе `192.168.1.0/24`) через NetBird на Server1C — мина для диагностики и будущей связки podkop/NetBird. Переадресовать один объект или сузить NetBird-маршруты.
- ⚠️ **WAN светит 443 (LuCI) и 3389 (RDP)** в интернет — закрыть, увести в NetBird.
## Ссылки
- [[snippets/podkop-reference]] — канон podkop (списки, грабли, конфиг)
- [[projects/buzharovo/server1c]] · [[projects/buzharovo/README]]
- [[projects/niikn/openwrt-bypass]] — образец параллельной схемы (НИИКН)
- [[decisions/2026-05-29-niikn-diadoc-ozon-fix]] — урок про `russia_outside`

58
decisions/2026-06-22-open-webui-deploy.md Normal file
View File

@@ -0,0 +1,58 @@
---
date: 2026-06-22
type: decision
status: done
tags: [homelab, proxmox, open-webui, omniroute, npm, ai]
---
# Open WebUI на home lab — веб-клиент «как ChatGPT» поверх OmniRoute
## Зачем
Олегу нужен удобный веб-интерфейс для работы с ИИ на домашнем сервере (не Telegram-бот, не голый CLI). Решение: **Open WebUI** — поверх уже имеющегося OmniRoute (OpenAI-совместимый шлюз, 145 моделей вкл. `cc/claude-opus-4-8` через Max).
> NB: на **клиентской** коробке Александра Open WebUI наоборот выкинут — там мозг openclaw со своим веб-UI, а железо слабое (Sandy Bridge i3). Open WebUI оправдан только на мощном home lab. См. [[../projects/dttb/proxmox-inventory]].
## Что развёрнуто (LXC 142)
- **LXC 142 `open-webui`** на Proxmox 10.0.0.250: Debian 12, unprivileged + `nesting=1,keyctl=1` (для Docker), 2 vCPU / 2 ГБ / 12 ГБ.
- rootfs на хранилище **`work`** (11.5 ТБ), НЕ `local-lvm` (тот забит на 93%).
- Статика **10.0.0.142**, DNS контейнера = **1.1.1.1** (обойти FakeIP-перехват от роутера 10.0.0.1 при pull образов и загрузке embedding-модели).
- Docker 20.10 (из Debian-репо), контейнер `ghcr.io/open-webui/open-webui:main` v0.9.6, `-p 3000:8080`, volume `open-webui`, restart=always, onboot=1.
- Подключение к OmniRoute: `OPENAI_API_BASE_URL=http://10.0.0.179:20128/v1`, `OPENAI_API_KEY=sk-omniroute` (LAN-доступ к OmniRoute **без авторизации** → ключ любой), `ENABLE_OLLAMA_API=false`.
## Публикация
- Spaceweb A-запись `chat → 176.62.183.186` (скрипт `snippets/spaceweb-dns-api.py add-a dttb.ru chat …`).
- NPM (10.0.0.195:81) proxy host **id39** `chat.dttb.ru``10.0.0.142:3000`, WebSockets on, Force SSL, LE cert **id129** (до 2026-09-20).
- Локально `*.dttb.ru` уже резолвится в 10.0.0.195 (hairpin-перехват DNS на роутере) → по LAN/NetBird работает сразу, без правки DNS.
## Грабли
1. **NPM v2.14 cert-create**: при `provider:letsencrypt` тело принимает только `meta:{}` (пустой). С `letsencrypt_email`/`agree`/`dns_challenge``400 data/meta must NOT have additional properties`. Email берётся из аккаунта NPM. (Совпало с заметкой по коробке Александра.)
2. **DNS-распространение**: после add-a Google DoH видит запись ~через 5 мин, Cloudflare держит негативный кэш до 10 мин (SOA min TTL 600). LE запрашивает авторитативные NS напрямую → серт выпускается, как только Google увидел. Проверка только через DoH (локальный `dig`/getent перехватываются роутером).
3. **Первый старт Open WebUI**: тянет embedding-модель с HuggingFace (~1 ГБ, 30 файлов) — из РФ медленно, стартап висит на «Fetching 30 files» пару минут. Это нормально; DNS 1.1.1.1 помогает. RAG-эмбеддинги можно позже переключить на OmniRoute.
4. **Open WebUI signup**: первый зарегистрированный = admin. Открытую регистрацию выключать в Admin Panel → Settings (env `ENABLE_SIGNUP` не действует — persistent config хранится в БД и перебивает env).
5. **Max-кап**: `cc/claude-opus-4-8` делит 5-часовой кап Max с german/openclaw/swarmclaw/code-server → при нагрузке 400 «out of extra usage» (транзиентно). Для тяжёлых сессий fallback `kr/claude-sonnet-4.5` (free).
6. **Ключ OmniRoute = пустой, НЕ dummy** (важно!). Open WebUI сначала показывал **0 моделей**. Причина: домашний OmniRoute с **непустым неизвестным** ключом (`sk-omniroute`) отдаёт `{"data":[]}` (скоупит по ключу→0 провайдеров), а с **отсутствующим/пустым** auth — полный каталог (LAN-доверие). Open WebUI всегда шлёт `Authorization: Bearer <key>`. Фикс: ключ коннекта = **пустая строка** (`OPENAI_API_KEYS:[""]`). German/openclaw ходят так же (без auth); найденный в их конфигах `ork_VQo75…` — это inbound-ключ openclaw, к OmniRoute-авторизации отношения не имеет (тоже даёт 0).
## Настройка Open WebUI (через API, токен = signin админом)
- **Коннект**: `POST /openai/config/update` `{ENABLE_OPENAI_API:true, OPENAI_API_BASE_URLS:["http://10.0.0.179:20128/v1"], OPENAI_API_KEYS:[""], OPENAI_API_CONFIGS:{}}`. NB: `POST /openai/config` (без `/update`) уходит в passthrough-роут → ошибка «Direct API passthrough is disabled».
- **Дефолтная модель**: `POST /api/v1/configs/models` `{"DEFAULT_MODELS":"cc/claude-opus-4-8", ...}`. Персистится в БД, переживает рестарт. Публичный `/api/config` поле `default_models` НЕ отдаёт в v0.9.6 — это норма, не индикатор.
- **Регистрация**: `ENABLE_SIGNUP=false` по умолчанию (проверять `GET /api/v1/auths/admin/config`).
- Проверка end-to-end: `POST /api/chat/completions {model:"cc/claude-opus-4-8", messages:[...], stream:false}` → ответ от Opus 4.8.
- `openapi.json` отключён (0 байт) — интроспекции нет, эндпоинты выше зафиксированы вручную.
## Способности (что «умеет»)
Open WebUI = пассивный «кабинет подумать/найти/написать», НЕ исполнитель на инфре (это German/Антошка).
- **Веб-поиск:** DuckDuckGo (без ключа). `POST /api/v1/retrieval/config/update {web:{ENABLE_WEB_SEARCH:true, WEB_SEARCH_ENGINE:"duckduckgo", ...}}`.
- **Code interpreter:** включён из коробки (Pyodide, в браузере). `GET/POST /api/v1/configs/code_execution`.
- **База знаний (RAG):** коллекция `7f60313d-add9-4f99-ad53-89e792295129` «DTTB Knowledge Base», embedding локальный (MiniLM). **193 файла**.
- Синк: `/opt/owui-kb-sync/sync.py` (инкрементальный по md5) + `run.sh` (flock + `git pull` + sync), **cron `*/20`** на LXC 142. Vault клонирован из Gitea (`http://oleg:***@10.0.0.189:3000/oleg/knowledge-base.git`).
- Синкаются только `projects/decisions/claude-memory/snippets` (~200), **минус** credential-файлы (vault на 1435 .md, 1152 = `notes/` шум). Пустые и дубль-контент (Open WebUI дедупит по хешу → `DUPLICATE_CONTENT`/`EMPTY_CONTENT` 400) скрипт ловит и помечает skip в манифесте, чтоб не ретраить.
- **Модель `oleg-assistant` «Ассистент Олега»** = base `cc/claude-opus-4-8` + привязанная коллекция (`meta.knowledge`). Выбираешь её → RAG включается сам, ответы с цитатами. Проверено end-to-end. (Дефолт остался plain `cc/claude-opus-4-8` для общих вопросов; KB-модель — по выбору.)
## Команды
```bash
# контейнер
sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 142 -- docker ps"
sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 142 -- docker logs --tail 30 open-webui"
# обновление образа
pct exec 142 -- bash -lc 'docker pull ghcr.io/open-webui/open-webui:main && docker rm -f open-webui && <docker run ...>'
```

53
decisions/2026-06-23-amnezia-web-panel-lxc143.md Normal file
View File

@@ -0,0 +1,53 @@
---
date: 2026-06-23
type: decision
tags: [dttb, vpn, amnezia, awg, netbird, control-plane]
---
# Amnezia Web Panel — control-plane VPN-нод на home lab (LXC 143)
## Контекст
Олег арендует HOSTKEY Finland (`151.241.234.241`, Ubuntu 22.04, 2 vCPU/3.9 GB) как **основной VPN-хаб для всех проектов**, старый финский VPS — горячий резерв. Управлять нодами решено через [Amnezia-Web-Panel](https://github.com/PRVTPRO/Amnezia-Web-Panel) (FastAPI/Python, paramiko-SSH; рулит AmneziaWG/WG/Xray-Reality/MTProxy на удалённых Ubuntu).
## Решение: панель — ДОМА, не на VPS
Панель = control-plane с SSH-ключами **ко всем** нодам сразу. Держим её на home lab (LXC 143), VPS оставляем чистым data-plane.
**Почему не на VPS:**
1. **Безопасность.** Финский VPS уже ломали через **RCE в amnezia-panel** (XorDDoS, чистили 2026-04-24). Панель на публичной коробке = ключи ко всему контуру под ударом.
2. Никакого публичного `:5000` + дефолт `admin/admin` + открытый Swagger `/docs`.
3. Переживает пересборку VPS — `data.json` (вся клиентская база) живёт дома.
4. Один пульт на все ноды (Finland + Paris/Singapore + будущие).
## Что развёрнуто (LXC 143, 10.0.0.143)
- Debian 12, unprivileged + nesting/keyctl, rootfs на `work` (local-lvm забит на 94%), ns 1.1.1.1.
- Docker 29.6 + compose, контейнер `prvtpro/amnezia-panel:1.4.4`, `-p 5000:5000`, restart=unless-stopped, onboot=1.
- NetBird `100.70.9.163` / `amnezia-panel.netbird.cloud` (группа Claude-Diag, ключ `1558712D-…`, `--disable-dns`).
- Доступ: LAN `10.0.0.143:5000` + NetBird `100.70.9.163:5000`. **Без NPM, без проброса портов — не публично.**
- Логин `admin` / `AmnPanel!2026-fi` (дефолт сменён; проверено: old→401, new→200).
## Грабли
- **Персистентность (важно).** Upstream `docker-compose.yml` монтирует `amnezia_data:/app/data`, но приложение пишет в **`/app/data.json`** и **`/app/tunnels_state.json`** (в WORKDIR `/app`). Т.е. дефолтный volume — пустышка, при пересоздании контейнера терялась бы вся база. Починено **bind-mount'ом конкретных файлов** в `/opt/amnezia-panel/`.
- Базовый Debian-шаблон без `curl` — ставить перед get.docker.com.
- Хеш пароля: `pbkdf2_hmac('sha256', pwd, salt_hex16, 100000)` → формат `salt$hex`. Смена пароля скриптом — воспроизвести этот алгоритм (`/opt/amnezia-panel/setpw.py`).
## Финский VPS заведён в панель (2026-06-23)
Олег сам поднял сервер через **официальное приложение AmneziaVPN** (он = владелец/первый админ), затем сервер добавлен в панель — она **адаптировала существующую установку**:
- Протокол **AmneziaWG 2.0** → контейнер `amnezia-awg2`, UDP **41624**, subnet `10.8.1.0/24`.
- `/api/servers/0/check``awg2 running`, `clients_count: 1`.
- Клиент Олега `Admin [macOS Tahoe (26.5.1)]` виден в панели (читается из `/opt/amnezia/awg/clientsTable`).
- **Вывод подтверждён в коде + вживую:** `get_clients()` читает `clientsTable` с сервера и доп. парсит `[Peer]` («pick up peers created via native Amnezia app»). Панель = центральное управление поверх app-установки, не конфликтует.
- ⚠️ root-пароль VPS хранится в `data.json` панели в открытом виде (так устроен SSH-доступ панели). При смене пароля VPS — обновить в карточке сервера (Servers → edit).
## Хардинг VPS сделан (2026-06-23)
- **SSH key-only:** ed25519 `~/.ssh/awg_fi_key` (Mac, алиас `ssh awg-fi`), pubkey в `/root/.ssh/authorized_keys`. Пароль по SSH отключён (`PasswordAuthentication no` в `00-hardening.conf` — перебивает cloud-init `50-cloud-init.conf`, читается первым). `PermitRootLogin prohibit-password`. Бэкап `/root/sshd_config.bak.*`.
- **Панель переведена на тот же ключ** (`/api/servers/0/edit` с `private_key`, пароль очищен; edit проверяет SSH до сохранения — не залочит). Проверено: `check 200` по ключу.
- **ufw:** наружу только `22/tcp` + `41624/udp`. (Docker публикует 41624 в обход ufw — это ок, порт нужен открытым; ufw защищает хостовые службы.)
- **fail2ban:** jail `sshd`, `backend=systemd` (на минимальной Ubuntu нет `/var/log/auth.log` → дефолтный backend падал).
- Грабля cloud-init: `/etc/ssh/sshd_config.d/50-cloud-init.conf` держал `PasswordAuthentication yes` — перебито `00-hardening.conf` + закомментировано sed'ом.
- Пароль `v_6hH9JuH_` остаётся валиден только для **веб-консоли HOSTKEY** (recovery).
## Дальше (TODO)
- [ ] Резервный финский VPS: **переустановить ОС начисто** перед использованием, подцепить к панели.
- [ ] Решить failover (AWG сам не переключается): второй endpoint в конфигах клиентов либо переключение через панель/DNS.
- [ ] Проверить лимит трафика HOSTKEY (3 TB/мес) — под «все проекты» может быть тесно.
- [ ] Бэкап `/opt/amnezia-panel/data.json` (вся клиентская база).

84
decisions/2026-06-26-authentik-sso-deploy.md Normal file
View File

@@ -0,0 +1,84 @@
---
date: 2026-06-26
type: decision
tags: [dttb, sso, authentik, oidc, mfa, security]
---
# authentik — SSO/IdP для home lab (LXC 144)
> **Статус:** платформа развёрнута и здорова, пилот OIDC на Open WebUI + Gitea работает (серверная часть). Остался один ручной шаг Олега — первый вход + enrollment 2FA (см. ниже).
> **Домен:** https://auth.dttb.ru · **Контейнер:** LXC 144 (10.0.0.144)
## Зачем
Единый вход (SSO) + обязательная 2FA на сервисы home lab. Self-hosted IdP, без облака — в линию с уходом от big-tech [[project_deapple_migration]].
## Ключевое архитектурное решение: «2FA на всё, но через нужную дверь»
Олег хотел завести **все** сервисы за SSO с 2FA. Лобовой «всё за forward-auth» отвергнут — сломал бы не-браузерные клиенты (которых у нас много). Принято разделение:
| Схема | Для чего | Почему |
|---|---|---|
| **OIDC/SAML** (вход в веб-морду через authentik+2FA, машинные пути живут штатно) | сервисы с родной поддержкой SSO: Gitea, Nextcloud, Proxmox, Portainer, Open WebUI, Grafana, Home Assistant | не ломает API, git push, WebDAV, мобилки |
| **Forward-auth** (outpost + advanced-config сниппет в NPM) | голые дашборды без логина / на Basic Auth (german, KasmVNC) | NPM не имеет родного auth-поля |
| **Родной 2FA** | Proxmox (встроенный TOTP/WebAuthn), NPM | не закрывать себе путь восстановления через IdP |
| **Не за SSO вообще** | API (OmniRoute omni:20128/v1), webhooks (bot.dttb.ru), не-HTTP (RustDesk, IMAP/SMTP, Matrix federation), Vaultwarden (свой мастер-пароль+2FA) | forward-auth их убьёт / антипаттерн |
**Почему forward-auth-везде плох именно у нас:** Nextcloud (мобилка/WebDAV/**rclone-bisync KB-синк**), Gitea (git push), OmniRoute API (openclaw/german/swarmclaw/open-webui/code-server), bot webhooks, Mailcow IMAP/SMTP, RustDesk 21115-21119, Home Assistant/Matrix/Plex клиенты — всё это не проходит SSO-редирект.
## Развёртывание (что сделано)
### Контейнер LXC 144
- Debian 12, unprivileged + nesting/keyctl, onboot=1
- 2 vCPU / 4 GB / swap 2 GB / rootfs 20 GB на storage `work` (local-lvm забит 94%)
- IP статика **10.0.0.144/24**, gw 10.0.0.1, **nameserver 1.1.1.1** (против FakeIP при pull с ghcr — урок [[2026-06-22-open-webui-deploy]])
- root-пароль LXC: см. credentials
- Docker 29.6 + compose (official get.docker.com)
### Стек (официальный compose, `/opt/authentik/`)
- `ghcr.io/goauthentik/server:2026.5.3`**server + worker + postgresql:16-alpine**
- ⚠️ **2026.5.3 ушёл от Redis** — теперь postgres-backed cache (django_postgres_cache). Compose БЕЗ redis. Проще.
- AVX-граблю (как Mongo для UniFi [[2026-06-15-unifi-controller-homelab]]) authentik **не задевает** — Python/PG/нет Mongo.
- `.env`: `PG_PASS`, `AUTHENTIK_SECRET_KEY` (сгенерированы), `AUTHENTIK_BOOTSTRAP_PASSWORD`/`_EMAIL`, порты 9000/9443. Бэкап секретов — в самом `.env` контейнера.
- Миграции БД при первом старте ~3 мин (health 503 в это время — норма, не паниковать).
### Домен auth.dttb.ru
- **Публичная A-запись** добавлена на Spaceweb: `auth → 176.62.183.186` (нет wildcard — у каждого поддомена своя запись).
- NPM proxy host **id 41**`10.0.0.144:9000`, **LE cert id 133**, Force SSL + HTTP/2 + WSS.
- Локально/в NetBird `*.dttb.ru` = 10.0.0.195 (wildcard на роутере) — SSO работает и внутри.
### 2FA — обязательна на уровне IdP
Стейдж `default-authentication-mfa-validation` переведён `not_configured_action: skip → configure`, `configuration_stages = [TOTP-setup, WebAuthn-setup]`. Любой вход без устройства **принуждает** к установке TOTP или passkey. Действует на ВСЕ OIDC-логины (они идут через default-authentication-flow).
### Пилот OIDC (работает серверно)
| Сервис | authentik app/slug | client_id | redirect_uri | как подключён |
|---|---|---|---|---|
| **Open WebUI** (chat.dttb.ru, LXC 142) | `open-webui` | `1G7PLkPU…` | `https://chat.dttb.ru/oauth/oidc/callback` | контейнер пересоздан с OAuth env, скрипт `/root/recreate-owui.sh`. Локальный логин СОХРАНЁН (`ENABLE_LOGIN_FORM` не трогали), `OAUTH_MERGE_ACCOUNTS_BY_EMAIL=true` |
| **Gitea** (git.dttb.ru, LXC 136) | `gitea` | `AYl8jNZv…` | `https://git.dttb.ru/user/oauth2/authentik/callback` | auth source «authentik» (id 1) через `gitea admin auth add-oauth`. **ROOT_URL изменён** `http://10.0.0.189:3000/ → https://git.dttb.ru/` (иначе callback не совпадал). Бэкап `app.ini.bak-preauthentik-20260626`. git push/SSH не затронуты |
Секреты client_secret — в credentials.
## ⚠️ Остался ручной шаг Олега (1 раз)
SSO-вход нельзя докрутить headless — нужен браузер Олега:
1. Зайти на **https://auth.dttb.ru**, логин `akadmin` / пароль (см. credentials).
2. Система **сама предложит установить 2FA** (TOTP — отсканировать QR в Google Authenticator/2FAS, или passkey). Установить.
3. Проверить вход через SSO: на chat.dttb.ru кнопка «Continue with authentik», на git.dttb.ru «Sign in with authentik».
4. (Опц.) создать личного пользователя `oleg` вместо akadmin, akadmin оставить как break-glass.
## Плюсы / минусы
**Плюсы:** единый вход + 2FA на все совместимые сервисы; централизованное управление (можно выдавать семье/клиентам скоуп-доступ); forward-auth прикроет голые панели; self-hosted; журнал входов.
**Минусы/риски (и митигация):**
- **SPOF/lockout:** упал authentik → нет SSO-входа. → критичную инфру (Proxmox/NPM/Vaultwarden) НЕ гейтим, у сервисов сохраняем родной admin-логин как fallback.
- **Публичный IdP = поверхность атаки.** → обязательная 2FA (включена), сильные пароли. Опц. позже: geo/fail2ban, ограничить admin LAN-only.
- **Лок единственного админа** при кривом MFA-flow. → recovery через API-токен (минует flow) и `ak shell` (см. ниже).
## Recovery / управление
- API-токен (минует login-flow): `claude-bootstrap` — в credentials. `curl https://auth.dttb.ru/api/v3/core/users/me/ -H "Authorization: Bearer <tok>"`.
- Сбросить пароль akadmin: `pct exec 144 -- bash -c "cd /opt/authentik && echo 'akadmin <newpass>' | docker compose exec -T server ak change_password akadmin"` (или через `ak shell`).
- Снять обязательную 2FA (если залочило): PATCH стейджа `f3808685-…` `not_configured_action=skip` через API-токен.
- Логи: `cd /opt/authentik && docker compose logs server|worker`.
- Обновление: бампить `AUTHENTIK_TAG` в `/opt/authentik/.env``docker compose pull && up -d`.
## Spaceweb DNS — найден read-метод API
К [[../projects/dttb/spaceweb-dns]]: метод чтения зоны = **`info`** (`params {domain}`), возвращает все записи с `index`/`category`. Существующие методы: `editMain`, `editMx`, `editTxt`, `info`. Добавление одной A-записи `editMain {action:"add",name,type:"A",value,prefix:""}` — безопасно (ломает зону только цикл).
## Дальше (отдельными задачами, по согласованию)
Полный OIDC-роллаут: Proxmox (realm OpenID Connect), Nextcloud (app `user_oidc`/`sociallogin`), Portainer, Home Assistant, Grafana. Forward-auth demo на german.dttb.ru (Basic Auth → outpost). См. раздел «нужная дверь» выше.

58
decisions/2026-06-26-benelux-podkop-recovery-watchdog.md Normal file
View File

@@ -0,0 +1,58 @@
---
date: 2026-06-26
type: decision
tags: [benelux, podkop, watchdog, monitoring, self-heal, openwrt, amneziawg, failover]
status: stage1-done
---
# Бенелюкс — инструмент восстановления обхода (мониторинг + автолечение)
## Задача
Олег: «инструмент восстановления обхода блокировок, мониторинг + автоисправление, должно работать на 100%, наверное на внешних ресурсах от Бенелюкса».
## Калибровка «100%»
Буквальные 100% одним туннелём недостижимы (ISP/нода/NetBird могут лечь — удалённо не починить). Реальная цель: **обход никогда не остаётся сломанным незаметно, чинится сам за 13 мин, иначе алерт раньше клиента.** Достигается тремя слоями.
## Решения Олега (AskUserQuestion)
- Наблюдатель — **дома, LXC** (клон antoshka-watch-self, алерт через бота).
- Автофикс — **до ребута включительно**, с гистерезисом.
- Резерв выхода — **второй AWG-сервер** (не VLESS) → Finland-хаб.
## Архитектура (3 слоя)
1. **Резерв выхода:** awg0 Singapore (primary) + awg1 Finland (secondary). Этап 2.
2. **Лёгкое самолечение на роутере:** podkop `enable_badwan_interface_monitoring=1` (следит за wan, перезагружает sing-box) — уже было.
3. **Внешний сторож (главный):** `benelux-podkop-watchdog.sh` на LXC 137, cron `*/5`, проверки УДАЛЁННО по SSH через NetBird.
## Ключевой принцип — анти-flapping
Грабли OpenWrt_4/Оливье: собственный watchdog.sh агрессивно рестартовал sing-box и сам создавал обрывы. Поэтому: лечим только после **2 подряд провалов**, cooldown 5 мин между шагами, лимит **2 ребута/сутки**.
## Что проверяет сторож (изнутри роутера)
- sing-box жив + Clash API (`192.168.1.1:9090`) отвечает
- handshake текущего выхода < 200с + `ping -I awgN 1.1.1.1` (транзит, ловит rp_filter-ловушку)
- FakeIP: youtube → `198.18.x` (заворачивается)
- **анти-утечка:** ozon.ru НЕ `198.18.x` (страж рецидива `russia_outside`) — только алерт, не автофикс
- достижимость: SSH нет → различает «роутер пингуется, SSH моргнул» vs «Бенелюкс лёг»
## Лестница лечения (с гистерезисом)
0. `podkop restart`
1. флип `podkop.main.interface` awg0→awg1 (если awg1 поднят и здоров), иначе `ifdown/ifup` + restart
2. `reboot` (лимит 2/сутки)
3. сдаёмся → алерт «нужно руками»
Каждое срабатывание + восстановление (✅) → Telegram Олегу (1292155421) через токен бота из `/root/.openclaw/openclaw.json` (тот же тракт, что antoshka-watch-self).
## Деплой Этапа 1 (2026-06-26) — СДЕЛАНО
- Ключ LXC137 `root@openclaw` добавлен в `/etc/dropbear/authorized_keys` Бенелюкса.
- `/root/benelux-podkop-watchdog.sh` на LXC 137, cron `*/5`. Исходник в vault `snippets/benelux/benelux-podkop-watchdog.sh`.
- **Боевой тест пройден:** `podkop stop` → прогон1 DEGRADED 1/2 (без действий) → прогон2 2/2 → Шаг1 restart → sing-box поднят, FakeIP вернулся → прогон3 OK + ✅-отбой + сброс счётчика. ⚠️/✅ алерты дошли.
- Грабли при написании: busybox `pgrep -x` не работает (→ `pgrep`); `read < нет_файла` течёт ошибкой (→ guard `[ -f ]`).
## Этап 2 (TODO) — резервный выход Finland + failover
- Через Amnezia Web Panel (LXC 143 `10.0.0.143:5000`, admin/AmnPanel!2026-fi) нарезать пир Бенелюкса на Finland-хаб `151.241.234.241:41624` (AmneziaWG 2.0, subnet `10.8.1.0/24`).
- Поднять `awg1` на роутере (UCI-референс — HomeLab awg2, [[../projects/dttb/openwrt-router]]); awg1 в firewall WAN-зону; per-iface `rp_filter=2`.
- Failover уже заложен в watchdog (Шаг1 флипает на awg1) — активируется автоматически, как только `network.awg1` появится.
- Закрывает TODO из [[2026-06-23-amnezia-web-panel-lxc143]] «failover (AWG сам не переключается)».
## Опционально (Этап 3)
- Второй независимый сторож на Finland VPS (на случай падения дома) — взаимный догляд ближе к «100%».
См. [[../snippets/podkop-reference]], [[../claude-memory/benelux]].

52
decisions/2026-06-27-benelux-foreign-banks-eu-exit.md Normal file
View File

@@ -0,0 +1,52 @@
---
date: 2026-06-27
type: decision
tags: [benelux, podkop, fakeip, user_domains, geoblock, sanctions, bnp, edf, vodafone, emiratesnbd]
status: done
---
# Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)
## Жалоба
Александр (КП Бенелюкс, Истра — **объект в РФ**): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: `m.vodafone.es`, `connexion-mabanque.bnpparibas`, `auth.entreprises-collectivites.edf.fr`, `online.emiratesnbd.com`.
## Диагноз
Эти домены **не входили ни в один список podkop** (`russia_inside`,`telegram`,`meta`) → резолвились реально → шли **напрямую через российский WAN-IP** `45.143.21.60` («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).
Это **зеркало** типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис **остался вне туннеля** и выходит российским IP.
## Находка
EXIT туннеля `202.71.12.186` (awg0/VLESS) по ip-api = **Finland / Helsinki / Hostkey B.V.**, а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены ([[../claude-memory/benelux]], [[../snippets/podkop-reference]]).
## Фикс (устойчивый — `user_domains`, не dnsmasq-override)
```sh
cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
uci add_list podkop.main.user_domains="$d"
done
uci commit podkop && /etc/init.d/podkop restart
killall -HUP dnsmasq
```
`user_domain_list_type=dynamic` уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).
## Проверка (через финский выход, EU-резолв + браузерные заголовки)
| Сайт | российский IP | EU-выход |
|---|---|---|
| vodafone.es | 200 | **200** ✅ |
| emiratesnbd.com | 403 | **200** ✅ |
| edf.fr | 503 | **404** (приложение отвечает; голый `/` без query → 404, реальный auth-URL откроется) ✅ |
| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = **не гео**); в браузере с JS/cookies проходит |
Контроль: домены → FakeIP `198.18.x`; `youtube` остался в туннеле; `ozon` напрямую (РФ не сломан).
## Грабли по ходу (на будущее)
- **curl с самого роутера НЕ показатель выхода**: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN). `curl https://api.ipify.org` с роутера вернул российский IP даже после добавления в список. Честный egress-тест: `curl --interface awg0 https://api.ipify.org` (домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход = `202.71.12.186` Финляндия).
- Домен **в списке** + `curl --interface awg0` без `--resolve` → системный DNS даёт FakeIP `198.18.x` → curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через `--resolve`.
## Клиенту (Александр)
Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).
## TODO (если BNP всё же капризничает)
Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в `user_domains`.
См. [[../snippets/podkop-reference]] §6 (user_domains), [[../claude-memory/benelux]], [[2026-06-26-benelux-podkop-recovery-watchdog]].

82
decisions/2026-06-27-homepage-dashboard-lxc145.md Normal file
View File

@@ -0,0 +1,82 @@
---
date: 2026-06-27
type: decision
tags: [dttb, dashboard, homepage, proxmox, authentik, npm]
---
# Homepage — единый дашборд home lab (LXC 145)
## Контекст
Зоопарк сервисов dttb разросся (42 VM/LXC). Нужна одна точка входа — карта инфраструктуры с живыми метриками. Выбран [Homepage](https://gethomepage.dev) (`gethomepage/homepage`) — нативные виджеты под бо́льшую часть стека.
## Что развёрнуто
- **LXC 145 `homepage`** — Debian 12, unprivileged + nesting/keyctl, 2 vCPU / 1 GB / 8 GB на `work`, статика **10.0.0.148**, nameserver 1.1.1.1.
- Docker `ghcr.io/gethomepage/homepage:latest`, `-p 3000:3000`, `--env-file /opt/homepage/.env`, volume `/opt/homepage/config`.
- Веб: **https://dash.dttb.ru** (NPM proxy host **id 42**, LE cert **id 134** до 2026-09-24) за **NPM Basic Auth** (access-list id 5, `oleg`/`OL260380eg`). LAN/NetBird — `http://10.0.0.148:3000` без авторизации.
- ⚠️ **authentik forward-auth НЕ боевой** (отложен) — см. грабли #4. Enforcement работал (unauth→302 в authentik), но embedded-outpost строит authorize-URL как `http://localhost` (игнорит `authentik_host_browser`, а `authentik_host=https://auth.dttb.ru` упирается в зависший hairpin LXC144→NPM). Плюс Олег ещё не прошёл 2FA-enrollment в authentik. Объекты (provider/app/outpost) оставлены готовыми, гейт пока Basic Auth.
- 5 групп / 22 сервиса: Инфраструктура, Облако и данные, AI-боты и инструменты, Доступ и безопасность, Дом-сеть-медиа.
## Live-виджеты (read-only доступы — не мастер-креды)
| Сервис | Виджет | Доступ |
|--------|--------|--------|
| Proxmox VE | proxmox | API-токен `homepage@pve!homepage` (роль **PVEAuditor**, privsep 0) |
| Nginx Proxy Manager | nginxproxymanager | логин it5870@yandex.ru (виджет сам берёт JWT) |
| Gitea | gitea | read-only PAT `homepage-dashboard` (scopes read:repository/issue/user/org/notification/misc) |
| Nextcloud | nextcloud | admin + **app-password** (serverinfo API) |
Остальное — ping-плитки (siteMonitor на внутренний IP): UniFi, Vaultwarden, LinkWarden, ZimaOS, Антошка, SwarmClaw, German, Open WebUI, OmniRoute, code-server, authentik, RustDesk, Mailcow, Amnezia, Home Assistant, WatchYourLAN, PBS, pve-147.
## Секреты
`/opt/homepage/.env` (chmod 600, **НЕ в vault, не в git**): `HOMEPAGE_VAR_*` (proxmox token, npm/nc creds, gitea token) + `HOMEPAGE_ALLOWED_HOSTS=dash.dttb.ru,10.0.0.148:3000,localhost:3000`. В `services.yaml` — только плейсхолдеры `{{HOMEPAGE_VAR_*}}`.
## Грабли (за них наступали)
1. **`download.docker.com` SNI-блок РКН** (`tlsv1 unrecognized name`) — DNS отдаёт реальный CloudFront, но РКН режет по SNI. Фикс: `docker.io` из репо Debian, а сам apt переключён на **`mirror.yandex.ru`** (deb.debian.org=Fastly тоже троттлится из РФ).
2. **Nextcloud-виджет и split-DNS**`dttb.ru` из контейнера (DNS 1.1.1.1) резолвится в публичный 176.62.183.186 → хайрпин через WAN. Фикс: `/etc/hosts``10.0.0.195 dttb.ru` (идёт прямо на NPM).
3. **NPM + authentik forward-auth, duplicate `location /`** — NPM кладёт `advanced_config` ПОСЛЕ своего `location /` (стр. 72 vs 96 в `42.conf`). Свой `location /` в сниппет = nginx duplicate location → конфиг не сохранится. Решение: `auth_request` на уровне **server** (наследуется в NPM-овский `location /`), а в `location /outpost.goauthentik.io` и `@goauthentik_proxy_signin`**`auth_request off;`** (иначе рекурсия auth-сабреквеста сам в себя).
4. **`http://localhost` в authorize-redirect** — embedded outpost не знал внешний URL. Фикс: outpost config **`authentik_host_browser=https://auth.dttb.ru`** + рестарт `server`/`worker` (config подхватывается рестартом, не сразу).
5. authentik objects: proxy provider pk **3** (`forward_single`, external_host https://dash.dttb.ru), application slug **`dash`**, привязан к embedded outpost `88286dc5-…`.
## NPM advanced_config (server-level auth_request)
```nginx
location /outpost.goauthentik.io {
auth_request off;
proxy_pass http://10.0.0.144:9000/outpost.goauthentik.io;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Original-URL $scheme://$http_host$request_uri;
auth_request_set $auth_cookie $upstream_http_set_cookie;
add_header Set-Cookie $auth_cookie;
proxy_pass_request_body off;
proxy_set_header Content-Length "";
}
location @goauthentik_proxy_signin {
internal; auth_request off;
add_header Set-Cookie $auth_cookie;
return 302 /outpost.goauthentik.io/start?rd=$request_uri;
}
auth_request /outpost.goauthentik.io/auth/nginx;
error_page 401 = @goauthentik_proxy_signin;
auth_request_set $auth_cookie $upstream_http_set_cookie;
add_header Set-Cookie $auth_cookie;
```
## Дополнения 2026-06-27 (2-я итерация)
- **Здоровье хоста (glances)** — на Proxmox-хосте `apt install glances lm-sensors`, systemd `glances.service` = `/usr/bin/glances -w --disable-webui -p 61208` (⚠️ НЕ `-B/-q/-t`с ними uvicorn не биндился). Группа «Хост Proxmox»: 6 виджетов `type: glances, version: 4` (cpu, memory, sensor:Core 0, fs:/, fs:/mnt/pve/work, network:vmbr0). API `http://10.0.0.250:61208/api/4/...`.
- **Доска клиентов** — LXC 145 подключён в **NetBird** (`100.70.113.28`, группа Claude-Diag, ключ SwarmClaw `1558712D…`, netbird 0.73.2 из apt-репо pkgs.netbird.io). Группа «Клиенты (NetBird)»: ping-плитки always-on площадок (НИИКН 100.70.145.223, ММФБ 100.70.128.49, Бужарово 100.70.75.103, Знаменское 100.70.93.36, Главторг 100.70.195.47, Sergey 100.70.110.164, Lipki 100.70.35.234). ⚠️ **NetBird-грабля:** при поднятии туннеля LAN на миг отвалился (glances→000), но прямые маршруты 10.0.0.0/24 защищены правилом `105: lookup main suppress_prefixlength 0` (туннельная таблица netbird не перехватывает directly-connected). resolv.conf НЕ тронут (1.1.1.1). watchdog `*/5` `/usr/local/bin/netbird-watchdog.sh`.
- **Закладки** (`bookmarks.yaml`): Proxmox, NetBird console, Spaceweb DNS, HOSTKEY, claude.ai usage, OmniRoute, SwarmClaw, боты.
- **Группа «OpenWrt роутеры»** — все 10 OpenWrt-роутеров (собраны workflow-сканом vault), ping по NetBird: дом (по LAN 10.0.0.1), Sergey 100.70.110.164, Olivier 100.70.194.241, Lipki 100.70.35.234, Benelux 100.70.207.97, НИИКН-VM101 100.70.120.229, Переделки 100.70.197.125, Бужарово-Сев.лес 100.70.113.251, Красногорск 100.70.152.137, Знаменское-3 100.70.54.204. На момент сборки UP: дом/Sergey/Lipki/Benelux/НИИКН/Бужарово/Знаменское-3 (7); down: Olivier, Переделки (vault: возможно offline с 05-08), Красногорск. **Sergey/Lipki намеренно дублируются** в «Клиенты» (это клиенты с подкопом) и в «OpenWrt роутеры» (по-железу) — по правке Олега.
- **Хардеринг:** onboot=1 (есть). ⚠️ **НАХОДКА: на Proxmox нет ни одного запланированного бэкапа** (`jobs.cfg` пуст) — вынесено в отдельную задачу.
## Self-serve: апгрейд плиток до live-виджетов (нужны токены, генерит Олег за 2 мин)
Достижимы из контейнера, не хватает только токена (вписать в `/opt/homepage/.env` как `HOMEPAGE_VAR_*` + добавить `widget:` в `services.yaml`):
- **Home Assistant** (home.dttb.ru): Профиль → Long-Lived Access Token. `type: homeassistant`.
- **Mailcow** (mail.dttb.ru): Admin → API → read-only ключ. `type: mailcow`.
- **Vaultwarden** (bit.dttb.ru): задать `ADMIN_TOKEN` в compose. `type: vaultwarden`.
- **PBS** (VM 106 сейчас недоступен по SSH — сперва проверить, жив ли): `proxmox-backup-manager user generate-token`. `type: proxmoxbackupserver`.
## TODO / можно докрутить
- **authentik forward-auth → боевой**: починить `localhost` в authorize (embedded outpost). Варианты: standalone-outpost контейнер на dash-LXC; либо разобраться, почему `authentik_host_browser` не применяется в 2026.5.3; нужен живой браузерный тест + 2FA-enrollment Олега. Тогда снять Basic Auth (access-list 5).
- UniFi/Vaultwarden можно перевести из плиток в live-виджеты (нужны read-only креды/токены).
См. [[../projects/dttb/proxmox-inventory#LXC 145 — homepage Dashboard]], [[2026-06-26-authentik-sso-deploy]].

23
notes/claude/2026-05-04-134028-в-ниикн-нспд.md Normal file
View File

@@ -0,0 +1,23 @@
---
date: 2026-05-04
type: claude-session
session_id: 073dc736-0282-4623-ad84-24c4b4328a86
started: 2026-05-04T08:37:17.964Z
ended: 2026-05-04T10:40:28.241Z
messages: 12
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# в ниикн нспд
## Запрос
в ниикн нспд
## Итог (последний ответ Claude, до 500 симв.)
Готово — 11 заметок закоммичены и запушены в Gitea (`e0ca1e0..ea077e6`). Все decisions/playbook/script тоже там. Рабочее дерево чистое.
---
*Автосохранено из session [`073dc736`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/073dc736-0282-4623-ad84-24c4b4328a86.jsonl) — 12 сообщ., тулы: Bash, Edit, Read, Write*

33
notes/claude/2026-05-04-135713-в-ниикн-нспд.md Normal file
View File

@@ -0,0 +1,33 @@
---
date: 2026-05-04
type: claude-session
session_id: 073dc736-0282-4623-ad84-24c4b4328a86
started: 2026-05-04T08:37:17.964Z
ended: 2026-05-04T10:57:13.656Z
messages: 13
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# в ниикн нспд
## Запрос
в ниикн нспд
## Итог (последний ответ Claude, до 500 симв.)
# Предлагаю watchdog на pve-niikn
90% случаев = пропавшие dnsmasq overrides на OpenWrt. Самый простой и надёжный мониторинг — крутить на pve-niikn (он 24/7 и в той же сети что OpenWrt).
## Архитектура
**`/usr/local/bin/niikn-govru-watchdog.sh`** + cron `*/10 * * * *`:
1. Резолвит каждый домен из списка через `192.168.1.50` (OpenWrt) с помощью `dig`
2. Если ответ = `198.18.x.x` (FakeIP) → значит podkop ловит, override отсутствует
3. Авто-фикс: ssh OpenWrt → `uci add_list … server='/<domain>/7
---
*Автосохранено из session [`073dc736`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/073dc736-0282-4623-ad84-24c4b4328a86.jsonl) — 13 сообщ., тулы: Bash, Edit, Read, Write*

30
notes/claude/2026-05-04-135932-в-ниикн-нспд.md Normal file
View File

@@ -0,0 +1,30 @@
---
date: 2026-05-04
type: claude-session
session_id: 073dc736-0282-4623-ad84-24c4b4328a86
started: 2026-05-04T08:37:17.964Z
ended: 2026-05-04T10:59:32.060Z
messages: 15
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# в ниикн нспд
## Запрос
в ниикн нспд
## Итог (последний ответ Claude, до 500 симв.)
# Моё мнение
**(c) тихий режим + расширенный режим + auto-add.** Обоснование:
### Почему (c) — Telegram только при persistent failure
- (b) — задолбает. За сутки watchdog починит DNS-override 5-10 раз, оно стабильно работает само и не требует внимания.
- (a) — Олег должен помнить спросить. Это против цели «работает само».
- (c) — silent когда всё ок. Сообщение приходит **только** если автофикс не сработал (значит реально нужен человек). Плюс **1 daily summary** в фиксированное время — «за сутк
---
*Автосохранено из session [`073dc736`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/073dc736-0282-4623-ad84-24c4b4328a86.jsonl) — 15 сообщ., тулы: Bash, Edit, Read, Write*

36
notes/claude/2026-05-04-140054-в-ниикн-нспд.md Normal file
View File

@@ -0,0 +1,36 @@
---
date: 2026-05-04
type: claude-session
session_id: 073dc736-0282-4623-ad84-24c4b4328a86
started: 2026-05-04T08:37:17.964Z
ended: 2026-05-04T11:00:54.703Z
messages: 17
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# в ниикн нспд
## Запрос
в ниикн нспд
## Итог (последний ответ Claude, до 500 симв.)
# Да, один общий бот — лучше
Причины:
- **Меньше точек отказа** — один токен хранить, ротировать, мониторить
- **Все алерты в одном месте** — не нужно держать в голове «о, это от другого бота»
- **Цена нулевая** — Telegram бесплатно, ratelimit щедрый (30 msg/sec в group, 1 msg/sec в private)
- **BotFather creation = 30 сек**, всё остальное — потерянное удобство
## Рекомендуемая схема
```
@OlegInfraBot (или как назовёшь)
└─ chat: "Олег — инфра-алерты" (private или small group)
├─ префи
---
*Автосохранено из session [`073dc736`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/073dc736-0282-4623-ad84-24c4b4328a86.jsonl) — 17 сообщ., тулы: Bash, Edit, Read, Write*

35
notes/claude/2026-05-04-140343-в-ниикн-нспд.md Normal file
View File

@@ -0,0 +1,35 @@
---
date: 2026-05-04
type: claude-session
session_id: 073dc736-0282-4623-ad84-24c4b4328a86
started: 2026-05-04T08:37:17.964Z
ended: 2026-05-04T11:03:43.640Z
messages: 18
tools: [Bash, Edit, Read, Write]
tags: [claude, session]
---
# в ниикн нспд
## Запрос
в ниикн нспд
## Итог (последний ответ Claude, до 500 симв.)
Глянул openclaw:
- Уже бот с Telegram-токеном `8020760639:AAH-Ra0nayJnFgjvSVA…` (`@assistent_maximka_bot`)
- Каналы: telegram + nextcloud-talk
- Tools: profile, web
- На 18789/18791 что-то слушает (видимо internal HTTP)
# «Совсем правильно» = два уровня, делаем поэтапно
## Уровень 1 (сейчас, 10 мин)
**Используем существующего Максимку как канал нотификаций**, без писания кода в openclaw:
- Бот один (Максимка) — единая identity, юзеры уже его знают
- Watchdogs шлют сообщения через **прямой Tel
---
*Автосохранено из session [`073dc736`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/073dc736-0282-4623-ad84-24c4b4328a86.jsonl) — 18 сообщ., тулы: Bash, Edit, Read, Write*

Some files were not shown because too many files have changed in this diff Show More