oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: oleg:claude/great-mirzakhani-3bd52c
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a
..
compare: oleg:claude/heuristic-mestorf-6c7a4a
Branches Tags
oleg:main oleg:claude/great-mirzakhani-3bd52c oleg:claude/heuristic-mestorf-6c7a4a

4 Commits
claude/gre ... claude/heu

Author SHA1 Message Date
dttb
2e45ce20a7 niikn: обход FakeIP для zakupki.gov.ru через OpenWrt DNS override 
zakupki.gov.ru в community-list russia_outside → podkop FakeIP-ил его в
198.18.0.76, трафик шёл через awg0 Финляндию, там таймаут. При этом сам
zakupki НЕ блокирует МТС WAN (85.235.181.190) - проверено curl'ом напрямую
через vmbr0 pve-niikn: HTTP 200, 2.4 MB.

Решение то же что и для nspd.gov.ru, но без NetBird route:
+ uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'

DNS теперь возвращает реальные 95.167.245.92 / 94.25.27.250, Windows
идёт через обычный default-gw → МТС, открывается HTTP 200.

Проверено на 192.168.1.202: zakupki.gov.ru → HTTP 200 size=2474668.

lk.zakupki.gov.ru (личный кабинет) - SSL handshake failure на любом
exit-IP, требует ГОСТ-TLS через КриптоПро/Яндекс.Браузер (не связано
с IP-блокировкой).
 2026-04-22 15:56:14 +03:00
dttb
cb33ecb0d3 niikn: PowerShell-версия скрипта установки NetBird 
Чище .bat-версии: автопроверка прав без re-exec, нативная Windows
кодировка (без chcp), цветной вывод, прямой запуск через
'irm <url>/download | iex'.

Публичная ссылка: https://dttb.ru/s/jr3CAej6nDaazCW/download
 2026-04-21 12:51:26 +03:00
dttb
f1b14be451 niikn: скрипт установки NetBird для сотрудников 
Один .bat-файл для самостоятельной установки NetBird на Windows-машины
НИИКН. Автоэлевация через UAC, silent-install последней версии с
pkgs.netbird.io, подключение с reusable setup-key, который авто-привязывает
пира к группе NIIKN (она получает NetBird route 2.63.246.0/24 → pve-LionART
для обхода блокировки nspd.gov.ru).

Setup-key: 6507CC68-2919-4D04-AB8E-3F8507906220 (reusable, без истечения,
NetBird API id d7jj4c3l0ubs73auc270).

Сотрудник скачивает файл, ПКМ → Запустить от имени администратора.
Публичная ссылка для раздачи: https://dttb.ru/s/5o6fXDt2tkraDdW
 2026-04-21 11:18:54 +03:00
dttb
9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
 2026-04-21 11:07:20 +03:00
688 changed files with 936 additions and 35975 deletions
Expand all files Collapse all files

0
audit/archive/2026-04-17-drift.md → audit/2026-04-17-drift.md
View File

0
audit/archive/2026-04-17-proposed.md → audit/2026-04-17-proposed.md
View File

0
audit/archive/2026-04-18-creds-drift.md → audit/2026-04-18-creds-drift.md
View File

0
audit/archive/2026-04-18-dns-drift.md → audit/2026-04-18-dns-drift.md
View File

0
audit/archive/2026-04-18-health.md → audit/2026-04-18-health.md
View File

0
audit/archive/2026-04-18-npm-drift.md → audit/2026-04-18-npm-drift.md
View File

0
audit/archive/2026-04-19-creds-drift.md → audit/2026-04-19-creds-drift.md
View File

0
audit/archive/2026-04-19-dns-drift.md → audit/2026-04-19-dns-drift.md
View File

0
audit/archive/2026-04-19-drift.md → audit/2026-04-19-drift.md
View File

0
audit/archive/2026-04-19-health.md → audit/2026-04-19-health.md
View File

0
audit/archive/2026-04-19-npm-drift.md → audit/2026-04-19-npm-drift.md
View File

0
audit/archive/2026-04-19-proposed.md → audit/2026-04-19-proposed.md
View File

47
audit/2026-05-03-creds-drift.md
View File

@@ -1,47 +0,0 @@
---
date: 2026-05-03
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-05-03
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **20**
- ✓ Reachable: 17 / ⚠ Questionable: 3 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://remot.dttb.ru/swagger/index.html` | 404 | Not Found |
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://remot.dttb.ru/_admin` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
| `https://edit.telegra.ph/auth/f1tfgzYpPpGlAr7cYHRzSeH59fYuNVB2V3fbCdypDc` | 200 | ✓ reachable |
| `https://api.telegra.ph/createPage` | 200 | ✓ reachable |
| `https://api.telegra.ph/editPage` | 200 | ✓ reachable |
| `https://telegra.ph/Nastrojka-VPN-04-24-2` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

81
audit/2026-05-03-dns-drift.md
View File

@@ -1,81 +0,0 @@
---
date: 2026-05-03
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-05-03
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **22**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

70
audit/2026-05-03-drift.md
View File

@@ -1,70 +0,0 @@
---
date: 2026-05-03
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-05-03
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **38**
- Упомянуто в inventory: **38**
- В обоих: 36 / только в live: 2 / отсутствуют в live: 0
- Известны как удалённые: 2 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 128 | LXC | running | profi-parser |
| 131 | VM | running | ubuntu |
## ✓ Удалённые хосты (задокументированы): 133, 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | stopped | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | running | profi-parser |
| 129 | VM | running | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | running | ubuntu |
| 132 | LXC | running | code-server |
| 134 | LXC | running | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | stopped | vpn-proxy |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

155
audit/2026-05-03-health.md
View File

@@ -1,155 +0,0 @@
---
date: 2026-05-03
type: audit
source: kb-health.py
score: 458
tags: [audit, health, metric]
---
# KB health — 2026-05-03
**Score (меньше = лучше): `458`**
Проверено файлов: 327
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 7 | 10 | 70 |
| broken_paths | 20 | 10 | 200 |
| missing_frontmatter | 17 | 3 | 51 |
| orphan_files | 38 | 2 | 76 |
| undated_todos | 36 | 1 | 36 |
| duplicate_basenames | 5 | 5 | 25 |
| **ИТОГО** | | | **458** |
## Битые wikilinks
| Откуда | `[[таргет]]` |
|---|---|
| `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
| `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md` | `[[../snippets/clients/]]` |
| `decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md` | `[[../claude-memory/podkop]]` |
| `decisions/2026-04-29-rustdesk-client-deployment-package.md` | `[[../snippets/clients/]]` |
| `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md` | `[[notes/govru-diagnosis]]` |
| `projects/dttb/rustdesk.md` | `[[../../../knowledge-base/feedback_lxc_loadavg]]` |
| `snippets/clients/yaroslav-amnezia-setup.md` | `[[feedback_finland_security]]` |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-28-122042-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/proxmox-inventory.md` |
| `notes/claude/2026-04-29-153123-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-231939-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/happ-routing-roscomvpn.md` |
| `notes/claude/2026-04-29-160010-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-04-29-071329-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/otchet-yuri-2026-04.md` |
| `notes/claude/2026-04-29-150044-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-223542-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `projects/dttb/znamenskoye-network-topology.md` |
| `notes/claude/2026-04-28-134112-можешь-найти-кп-мичуринец.md` | `claude-memory/benelux-topology.md` |
| `notes/claude/2026-04-29-180420-создадим-еще-одного-пользователя-подключение-к-vpn.md` | `snippets/clients/sergey-znamenskoye-happ-setup.md` |
| `notes/claude/2026-04-28-132949-промт-для-claude-code-развёртывание-rustdesk-api-s.md` | `projects/dttb/rustdesk.md` |
| `notes/claude/2026-04-29-163821-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/amnezia-split-tunnel-ru.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `snippets/clients/yaroslav-happ-setup.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/vpn-clients.md` |
| `notes/claude/2026-04-29-151943-сделай-красивую-ссылку-с-локацией-финляндия-для-ha.md` | `projects/dttb/credentials.md` |
| `notes/claude/2026-04-29-001915-на-компе-юрия-продолжим-проверь-он-сети.md` | `projects/mmfb/yuri-vitalievich.md` |
## Без frontmatter (17)
- `projects/dttb/znamenskoye-log.md`
- `projects/niikn/kripto-arm.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (38)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md`
- `decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md`
- `decisions/2026-05-02-apple-id-tj-via-residential-proxy.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-04-28-netbird-watchdog-lxc-132-137.md`
- `decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md`
- `projects/niikn/credentials.md`
- `projects/niikn/kripto-arm.md`
- `projects/niikn/domofon.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/otchet-yuri-2026-04.md`
- `projects/mmfb/mikrotik.md`
- `projects/zelenograd/README.md`
- `snippets/happ-routing-roscomvpn.md`
- `snippets/invoice-template.md`
- `snippets/assets/happ-routing-roscomvpn/README-upstream.md`
- `claude-memory/cliproxy_code_server.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux-topology.md`
- `claude-memory/benelux.md`
- `claude-memory/znamenskoye-cameras.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/niikn-vpn-status.md`
- `claude-memory/znamenskoye-ohothozyistvo.md`
- `claude-memory/znamenskoye-network.md`
- `claude-memory/niikn-nextcloud-incident.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/feedback_dns_fakeip.md`
- ... +8 ещё
## TODO без даты (36 шт в 5 файлах)
- `decisions/2026-04-30-rustdesk-pre-prod-audit.md` — 13 шт
- `templates/vpn-client.md` — 7 шт
- `decisions/2026-04-29-rustdesk-client-deployment-package.md` — 6 шт
- `projects/dttb/vpn-clients.md` — 5 шт
- `claude-memory/mas-niikn.md` — 5 шт
## Дубликаты имён (5)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/niikn/README.md`
- `projects/krasnogorsk/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `credentials.md`:
- `projects/dttb/credentials.md`
- `projects/niikn/credentials.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

62
audit/2026-05-03-npm-drift.md
View File

@@ -1,62 +0,0 @@
---
date: 2026-05-03
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-05-03
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **22**
- В KB: **20**
- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 3
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #14 `remot.dttb.ru`
- backend: KB=`10.0.0.43:21114` → live=`10.0.0.244:21114`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.244:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

13
audit/2026-05-03-proposed.md
View File

@@ -1,13 +0,0 @@
---
date: 2026-05-03
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-05-03
Сгенерировано Claude Opus на основе [[2026-05-03-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.

37
audit/2026-05-06-objects-audit.md
View File

@@ -1,37 +0,0 @@
---
date: 2026-05-06
type: audit
source: scripts/kb-objects-audit.py
tags: [audit, objects, frontmatter, links]
score: 6
---
# KB objects audit — 2026-05-06
**Score (меньше = лучше): `6`**
- Проектов с frontmatter: **12/12** (0 проблем)
- NetBird online-пиров без проектной карточки: **3**
- Битых wiki-ссылок `[[...]]`: **0**
## Frontmatter в projects/
✅ все проекты имеют валидный frontmatter
## Online netbird-пиры без проектной карточки
Эти пиры онлайн в NetBird, но не привязаны ни к одной projects/-странице.
Бот не сможет ответить «найди X» осмысленно — нет файла или alias.
Лечение: либо создать stub в `projects/<slug>/README.md` (см. `projects/lipki/` как образец),
либо добавить имя пира как полную строку в `aliases` подходящего проекта.
| NetBird-имя | IP | OS | Город |
|---|---|---|---|
| `DESKTOP-2IOQS54` | 100.70.82.83 | Windows 10 | Saransk |
| `DESKTOP-AGBMLPN` | 100.70.0.106 | Windows 11 | Helsinki |
| `DESKTOP-HL0BB05` | 100.70.235.80 | Windows 11 | Lipetsk |
## Битые wiki-ссылки
✅ битых ссылок не найдено

41
audit/archive/2026-04-26-creds-drift.md
View File

@@ -1,41 +0,0 @@
---
date: 2026-04-26
type: audit
source: kb-audit-creds.py
tags: [audit, creds, reachability]
---
# Credentials reachability — 2026-04-26
Ping-проверка URL из [[../projects/dttb/credentials|credentials.md]].
Проверяется только reachability (HTTP status), не реальный логин.
- Всего URL: **14**
- ✓ Reachable: 12 / ⚠ Questionable: 2 / ❌ Unreachable: 0
## ⚠ Нестандартный ответ
| URL | Status | Detail |
|---|---|---|
| `https://api.netbird.io` | 404 | Not Found |
| `https://api.netbird.io/api/setup-keys` | 404 | Not Found |
## ✓ Все ответили нормально
| URL | Status | Категория |
|---|---|---|
| `https://10.0.0.250:8006` | 200 | ✓ reachable |
| `https://pve.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.189:3000` | 200 | ✓ reachable |
| `http://git.dttb.ru` | 200 | ✓ reachable |
| `http://10.0.0.195:81` | 200 | ✓ reachable |
| `https://npm.dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru` | 200 | ✓ reachable |
| `https://dttb.ru/remote.php/dav/files/admin` | 401 | ✓ auth-required (сервер жив) |
| `https://vps.sweb.ru` | 200 | ✓ reachable |
| `https://api.sweb.ru/domains/dns` | 200 | ✓ reachable |
| `https://mail.niikn.com` | 200 | ✓ reachable |
| `http://192.168.1.22:81` | 200 | ✓ reachable |
---
*Автоматически через `scripts/kb-audit-creds.py`.*

81
audit/archive/2026-04-26-dns-drift.md
View File

@@ -1,81 +0,0 @@
---
date: 2026-04-26
type: audit
source: kb-audit-dns.py
tags: [audit, dns]
---
# DNS resolve audit — 2026-04-26
Резолвим все домены из NPM через публичный DNS (8.8.8.8) и локальный роутер (10.0.0.1).
- Всего доменов: **22**
- NXDOMAIN на 8.8.8.8: 2 / пустой ответ локально: 1 / split-horizon: 20
## ❌ NXDOMAIN / не резолвится на 8.8.8.8 (публичный DNS)
| Домен | Локальный IP |
|---|---|
| `itilegent.ru` | (тоже нет) |
| `vpn.dttb.ru` | 10.0.0.195 |
## ⚠ Split-horizon — разные IP снаружи и внутри
Это нормально для *.dttb.ru (внешний Let's Encrypt IP vs локальный 10.0.0.195). Но неожиданный split может быть багом.
| Домен | Публичный (8.8.8.8) | Локальный (10.0.0.1) |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
## ⚠ Пустой локальный резолв (роутер не знает)
- `itilegent.ru` (публичный: -)
## Полная таблица резолва
| Домен | 8.8.8.8 | 10.0.0.1 |
|---|---|---|
| `ai.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bit.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bitrix24.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `bot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `git.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `home.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `ip.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `itilegent.ru` | — | — |
| `link.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `mail.dttb.ru` | 176.62.183.186 | 10.0.0.107 |
| `matrix.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `npm.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `office.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `plex.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `porteiner.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `pve.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `rec.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `remot.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `router.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
| `vpn.dttb.ru` | — | 10.0.0.195 |
| `z.dttb.ru` | 176.62.183.186 | 10.0.0.195 |
---
*Автоматически через `scripts/kb-audit-dns.py`.*

71
audit/archive/2026-04-26-drift.md
View File

@@ -1,71 +0,0 @@
---
date: 2026-04-26
type: audit
source: kb-audit.py
tags: [audit, drift, infrastructure]
---
# KB drift audit — 2026-04-26
Сравнение живого `pct list` / `qm list` с [[../projects/dttb/proxmox-inventory|proxmox-inventory.md]]
- Живых гостей Proxmox: **39**
- Упомянуто в inventory: **39**
- В обоих: 37 / только в live: 2 / отсутствуют в live: 0
- Известны как удалённые: 2 (в `## 🗑️ Удалённые`)
## ⚠ В Proxmox есть, в inventory НЕТ (надо добавить)
| VMID | Type | Status | Name |
|---|---|---|---|
| 128 | LXC | running | profi-parser |
| 131 | VM | running | ubuntu |
## ✓ Удалённые хосты (задокументированы): 133, 135
## Полный живой список
| VMID | Type | Status | Name |
|---|---|---|---|
| 100 | VM | stopped | NV |
| 101 | LXC | stopped | n8n |
| 102 | LXC | stopped | SMB |
| 103 | LXC | running | NPM |
| 104 | VM | stopped | Agent-DVR |
| 105 | VM | stopped | Nextcloud-AIO-dttb.ru |
| 106 | VM | running | pbs |
| 107 | VM | running | Mailcow |
| 108 | LXC | stopped | zabbix |
| 109 | VM | stopped | itilelegent |
| 110 | VM | stopped | Cloud |
| 111 | VM | running | WinServer2025 |
| 112 | VM | stopped | cloud-dttb |
| 113 | LXC | running | VaultWarden |
| 114 | LXC | running | LinkWarden |
| 115 | LXC | running | watchyourlan |
| 116 | LXC | running | rustdeskserver |
| 117 | LXC | stopped | motioneye |
| 118 | LXC | stopped | plex |
| 119 | LXC | stopped | myspeed |
| 120 | VM | stopped | 7 |
| 121 | LXC | stopped | docker-windows |
| 122 | LXC | stopped | qbittorrent |
| 123 | LXC | stopped | proxmox-local |
| 124 | VM | stopped | Matrix |
| 125 | VM | stopped | datacentr |
| 126 | LXC | stopped | debian |
| 127 | VM | running | haos-17.0 |
| 128 | LXC | running | profi-parser |
| 129 | VM | running | profi-parser-vm |
| 130 | VM | stopped | Zima-OS |
| 131 | VM | running | ubuntu |
| 132 | LXC | running | code-server |
| 134 | LXC | running | ZnamSecurityBot |
| 136 | LXC | running | gitea |
| 137 | LXC | running | openclaw |
| 138 | LXC | running | vpn-proxy |
| 139 | LXC | running | yaroslav-assistant |
| 250 | VM | running | Nextcloud-AIO |
---
*Автоматически сгенерировано `scripts/kb-audit.py`. Применять правки — вручную после ревью.*

122
audit/archive/2026-04-26-health.md
View File

@@ -1,122 +0,0 @@
---
date: 2026-04-26
type: audit
source: kb-health.py
score: 221
tags: [audit, health, metric]
---
# KB health — 2026-04-26
**Score (меньше = лучше): `221`**
Проверено файлов: 501
## Разбивка
| Категория | Кол-во | Вес | Штраф |
|---|---:|---:|---:|
| broken_wikilinks | 0 | 10 | 0 |
| broken_paths | 9 | 10 | 90 |
| missing_frontmatter | 14 | 3 | 42 |
| orphan_files | 32 | 2 | 64 |
| undated_todos | 5 | 1 | 5 |
| duplicate_basenames | 4 | 5 | 20 |
| **ИТОГО** | | | **221** |
## Битые relative-пути
| Откуда | Путь |
|---|---|
| `notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `projects/dttb/vps-swtest.md` |
| `notes/claude/2026-04-20-113423-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/mmfb/mikrotik.md` |
| `notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/mikrotik.md` |
| `notes/claude/2026-04-24-165527-новый-клиент-ммфб-юрий-витальевич-нужно-подключить.md` | `projects/mmfb/yuri-vitalievich.md` |
| `notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md` | `/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md` |
| `notes/claude/2026-04-20-101023-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md` | `projects/niikn/openwrt-bypass.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md` |
| `notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md` | `claude-memory/znamenskoye-ohothozyistvo.md` |
## Без frontmatter (14)
- `projects/dttb/znamenskoye-log.md`
- `projects/mmfb/yuri-vitalievich.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- `claude-memory/MEMORY.md`
## Orphan — без бэклинков (32)
_Эти файлы никто не упоминает через `[[..]]`. Кандидаты на удаление или добавление ссылок._
- `decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md`
- `decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md`
- `decisions/2026-04-24-finland-vps-malware-cleanup.md`
- `projects/dttb/vps-swtest.md`
- `projects/niikn/domofon.md`
- `projects/mmfb/yuri-vitalievich.md`
- `projects/mmfb/mikrotik.md`
- `projects/zelenograd/README.md`
- `snippets/happ-vpn-client-instruction.md`
- `snippets/invoice-template.md`
- `claude-memory/cliproxy_code_server.md`
- `claude-memory/servicedesk-dttb.md`
- `claude-memory/benelux-topology.md`
- `claude-memory/benelux.md`
- `claude-memory/znamenskoye-cameras.md`
- `claude-memory/nextcloud-dttb.md`
- `claude-memory/nvr-fix.md`
- `claude-memory/niikn-vpn-status.md`
- `claude-memory/znamenskoye-ohothozyistvo.md`
- `claude-memory/znamenskoye-network.md`
- `claude-memory/niikn-nextcloud-incident.md`
- `claude-memory/videonablyudenie.md`
- `claude-memory/znamenskoe-home.md`
- `claude-memory/feedback_dns_fakeip.md`
- `claude-memory/niikn-nextcloud.md`
- `claude-memory/feedback_finland_vps.md`
- `claude-memory/whatsapp-proxy.md`
- `claude-memory/gitea-dttb.md`
- `claude-memory/krasnogorsk.md`
- `claude-memory/mas-niikn.md`
- ... +2 ещё
## TODO без даты (5 шт в 1 файлах)
- `claude-memory/mas-niikn.md` — 5 шт
## Дубликаты имён (4)
- `README.md`:
- `README.md`
- `decisions/README.md`
- `notes/README.md`
- `projects/dttb/README.md`
- `projects/glavtorg/README.md`
- `projects/niikn/README.md`
- `projects/krasnogorsk/README.md`
- `projects/zelenograd/README.md`
- `projects/dttb/nextcloud-talk-bot/README.md`
- `snippets/README.md`
- `scripts/README.md`
- `nextcloud.md`:
- `projects/nextcloud.md`
- `projects/dttb/nextcloud.md`
- `proxmox-inventory.md`:
- `projects/dttb/proxmox-inventory.md`
- `projects/mmfb/proxmox-inventory.md`
- `mikrotik.md`:
- `projects/niikn/mikrotik.md`
- `projects/mmfb/mikrotik.md`
---
*Генерируется `scripts/kb-health.py`. JSON-версия в `audit/health-latest.json` для agent-loop.*

59
audit/archive/2026-04-26-npm-drift.md
View File

@@ -1,59 +0,0 @@
---
date: 2026-04-26
type: audit
source: kb-audit-npm.py
tags: [audit, drift, npm]
---
# NPM drift audit — 2026-04-26
Сверка [[../projects/dttb/npm-proxy-hosts|npm-proxy-hosts.md]] с NPM API (https://npm.dttb.ru).
- Живых proxy hosts: **22**
- В KB: **20**
- Совпадений: 20 / новых: 2 / удалённых из NPM: 0 / с изменениями: 2
## ⚠ Новые hosts (в NPM есть, в KB нет)
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
## 🔄 Изменения (ID совпадает, но что-то сменилось)
### #12 `bitrix24.dttb.ru`
- backend: KB=`10.0.0.223:8080` → live=`10.0.0.224:8080`
### #22 `git.dttb.ru`
- ssl: KB=✗ → live=✓
## Полный живой список
| ID | Домены | Backend | SSL | Enabled |
|---|---|---|---|---|
| 1 | `dttb.ru` | `10.0.0.230:11001` | ✓ | on |
| 2 | `office.dttb.ru` | `10.0.0.169:8080` | ✓ | on |
| 3 | `itilegent.ru` | `10.0.0.223:8080` | ✓ | on |
| 4 | `npm.dttb.ru` | `10.0.0.195:81` | ✓ | on |
| 5 | `porteiner.dttb.ru` | `10.0.0.10:9443` | ✓ | on |
| 6 | `pve.dttb.ru` | `10.0.0.250:8006` | ✓ | on |
| 9 | `ai.dttb.ru` | `10.0.0.179:8080` | ✓ | on |
| 10 | `bit.dttb.ru` | `10.0.0.217:8080` | ✓ | on |
| 11 | `link.dttb.ru` | `10.0.0.184:3000` | ✓ | on |
| 12 | `bitrix24.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 13 | `ip.dttb.ru` | `10.0.0.112:8840` | ✓ | on |
| 14 | `remot.dttb.ru` | `10.0.0.43:21114` | ✓ | on |
| 15 | `plex.dttb.ru` | `10.0.0.200:32400` | ✓ | on |
| 16 | `home.dttb.ru` | `10.0.0.155:8123` | ✓ | on |
| 17 | `z.dttb.ru` | `10.0.0.220:80` | ✓ | on |
| 21 | `rec.dttb.ru` | `10.0.0.227:8091` | ✓ | on |
| 22 | `git.dttb.ru` | `10.0.0.189:3000` | ✓ | on |
| 23 | `matrix.dttb.ru` | `10.0.0.224:8080` | ✓ | on |
| 25 | `mail.dttb.ru` | `10.0.0.107:443` | ✓ | on |
| 26 | `router.dttb.ru` | `10.0.0.1:8080` | ✓ | on |
| 27 | `vpn.dttb.ru` | `10.0.0.141:8443` | - | on |
| 28 | `bot.dttb.ru` | `10.0.0.239:18789` | ✓ | on |
---
*Автоматически через `scripts/kb-audit-npm.py`.*

101
audit/archive/2026-04-26-proposed.md
View File

@@ -1,101 +0,0 @@
---
date: 2026-04-26
type: audit-proposed
source: kb-audit-propose.sh (Opus 4.7)
tags: [audit, proposed, inventory]
---
# Предложенные правки inventory — 2026-04-26
Сгенерировано Claude Opus на основе [[2026-04-26-drift|drift-отчёта]].
**Правки НЕ применены.** Ревью — ты. Apply — вручную.
Анализирую drift-отчёт и inventory — всё данные уже перед глазами, агенты не нужны.
---
## 1. Резюме
В Proxmox появились 2 новых гостя (**LXC 128 profi-parser**, **VM 131 ubuntu**), а **VM 129** — живая и running под именем **profi-parser-vm**, хотя в inventory записана как удалённая «Clawdbot». Итого inventory нужно обновить с 36 до 39 гостей.
---
## 2. Конкретные правки
### 2.1. Сводка — обновить цифры
```diff
| Тип | Всего | Запущено | Остановлено |
|-----|-------|----------|-------------|
-| QEMU VM | 15 | 5 | 10 |
-| LXC | 21 | 11 | 10 |
-| **Итого** | **36** | **16** | **20** |
+| QEMU VM | 17 | 7 | 10 |
+| LXC | 22 | 12 | 10 |
+| **Итого** | **39** | **19** | **20** |
```
### 2.2. Добавить VM 129 — profi-parser-vm в «Запущенные VM»
Вставить после блока VM 127 (haos-17.0):
```markdown
### VM 129 — profi-parser-vm
| Параметр | Значение |
|----------|----------|
| Статус | 🟢 running |
| Назначение | Profi-parser VM (детали уточнить) |
```
### 2.3. Добавить VM 131 — ubuntu в «Запущенные VM»
Вставить после блока VM 129:
```markdown
### VM 131 — ubuntu
| Параметр | Значение |
|----------|----------|
| Статус | 🟢 running |
| Назначение | Ubuntu VM (детали уточнить) |
```
### 2.4. Добавить LXC 128 — profi-parser в «Запущенные LXC»
Вставить перед блоком LXC 132 (code-server), чтобы VMID шли по порядку:
```markdown
### LXC 128 — profi-parser
| Параметр | Значение |
|----------|----------|
| Статус | 🟢 running |
| Назначение | Profi-parser (детали уточнить) |
```
### 2.5. Удалить VM 129 из секции «Удалённые»
```diff
## 🗑️ Удалённые (история)
| VMID | Имя | Когда | Куда делось |
|------|-----|-------|-------------|
-| 129 | Clawdbot | ~апрель 2026 | Данные перенесены на code-server (132) в `/root/backup-lxc129/`, IP 10.0.0.206 освобождён |
| 133 | clawdbot-1 | ~апрель 2026 | Функционал мигрирован на openclaw (137) |
| 135 | whisper-bot | ~апрель 2026 | — |
```
### 2.6. Обновить дату в шапке
```diff
-> Последнее обновление: 2026-04-17 (обновлено из живого `pct list` / `qm list`)
+> Последнее обновление: 2026-04-26 (обновлено из живого `pct list` / `qm list`)
```
---
## 3. Предупреждения
- **VM 129**: в inventory была записана как удалённый «Clawdbot» (LXC), но в live это **VM** с именем **profi-parser-vm**. Скорее всего VMID 129 был переиспользован для нового гостя. Стоит проверить: а) действительно ли бэкап Clawdbot ещё лежит в `/root/backup-lxc129/`; б) IP 10.0.0.206 — он свободен или назначен profi-parser-vm? Историю Clawdbot можно оставить комментарием или убрать полностью.
- **LXC 128, VM 131**: для них нет IP-адресов, ресурсов (CPU/RAM/диск) и назначения — нужно доуточнить через `pct config 128` / `qm config 131` и дозаполнить.
- **LXC 128 + VM 129**: оба содержат «profi-parser» в имени — вероятно, связанные сервисы (парсер в LXC + VM). Стоит описать связь в назначении.
Хочешь — могу сразу применить эти правки в файл.

18
audit/health-latest.json
View File

@@ -1,13 +1,13 @@
{
"date": "2026-05-03",
"score": 458,
"date": "2026-04-19",
"score": 15,
"counts": {
"broken_wikilinks": 7,
"broken_paths": 20,
"missing_frontmatter": 17,
"orphan_files": 38,
"undated_todos": 36,
"duplicate_basenames": 5
"broken_wikilinks": 0,
"broken_paths": 0,
"missing_frontmatter": 0,
"orphan_files": 0,
"undated_todos": 0,
"duplicate_basenames": 3
},
"weights": {
"broken_wikilinks": 10,
@@ -17,5 +17,5 @@
"undated_todos": 1,
"duplicate_basenames": 5
},
"files_scanned": 327
"files_scanned": 194
}

1024
audit/objects-map.json
View File

File diff suppressed because it is too large Load Diff

7
decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md
View File

@@ -1,13 +1,14 @@
---
date: 2026-04-20
type: decision
status: ОТКАЧЕНО
tags: [decision, niikn, mmfb, network, wireguard, rollback]
status: ЗАМЕНЕНО
tags: [decision, niikn, mmfb, network, wireguard, superseded]
---
# 2026-04-20: Обход блокировки nspd.gov.ru в НИИКН через WG-туннель к LionART
> **⚠️ СТАТУС: РЕШЕНИЕ ОТКАЧЕНО 2026-04-20 вечером.** После поднятия туннеля сотрудники НИИКН стали жаловаться на медленный интернет. Туннель удалён полностью с обеих сторон (НИИКН и LionART), OpenWrt DNS-override убран. Проблема NSPD остаётся открытой — искать другое решение. Описание ниже сохранено для референса: схема рабочая, но требует дополнительной диагностики что именно замедлило общий трафик (возможно MTU/фрагментация, перегрузка LionART, или случайное совпадение). См. задачу в spawn для вечерней работы.
> **⚠️ СТАТУС: ЗАМЕНЕНО РЕШЕНИЕМ [[2026-04-21-niikn-nspd-netbird-route]].**
> Эта схема (WG-туннель) откачена 2026-04-20 вечером — после поднятия сотрудники жаловались на медленный интернет. 2026-04-21 финальное решение: NetBird Network Route `2.63.246.0/24 → pve-LionART` + DNS override в OpenWrt dnsmasq. Только подсеть НСПД через туннель, не весь интернет. Описание ниже сохранено для референса.
## Проблема

163
decisions/2026-04-21-niikn-nspd-netbird-route.md Normal file
View File

@@ -0,0 +1,163 @@
---
date: 2026-04-21
type: decision
status: ACTIVE
tags: [decision, niikn, mmfb, lionart, netbird, nspd, bypass, dns]
---
# 2026-04-21: Обход блокировки nspd.gov.ru через NetBird Network Route
> **Заменяет** [[2026-04-20-niikn-nspd-bypass-via-lionart]] (WG-туннель, откачен) и промежуточную попытку через socat+DNAT+hosts (утро 2026-04-21, не сработала из-за FakeIP в sing-box на OpenWrt).
## Проблема
НСПД блокирует по WAF публичный IP НИИКН `85.235.181.190` (MTS Customers_P2P_B16, AS8359). Подробности корневой причины — [[2026-04-20-niikn-nspd-bypass-via-lionart]].
## Почему предыдущие попытки не сработали
### WG-туннель НИИКН↔LionART (откачен 2026-04-20)
Работал технически, но совпал с побочными изменениями (отключение podkop-fakeip route, смена DHCP DNS) → сотрудники пожаловались на общее замедление. Откачен.
### socat + DNAT + hosts (попытка 2026-04-21 утро, не полетела)
Схема: `hosts: 195.26.30.163 nspd.gov.ru` → DNAT на MikroTik LionART (`src=85.235.181.190 → 10.253.1.253:4443`) → socat TCP4-LISTEN:4443 → nspd.gov.ru:443.
**Почему не сработала:**
1. **OpenWrt 192.168.1.50 (podkop/sing-box) FakeIP-ил** весь домен `nspd.gov.ru` и поддомены в `198.18.0.0/15`. Windows получал FakeIP, шёл через podkop → awg0 (Финляндия), куда НСПД вообще не пускал.
2. **Auth-поддомены** (`sso.nspd.gov.ru`) не были в hosts → ломалась авторизация даже когда главная открывалась.
3. **Дублирующий Ethernet-маршрут** `2.63.246.0/24 via 192.168.1.1` с metric=1 конкурировал с wt0 при последующей попытке NetBird-route.
## Итоговое решение — NetBird Network Route + DNS override на OpenWrt
```
[Windows НИИКН] DNS запрос → 192.168.1.50 (OpenWrt dnsmasq)
↓ dnsmasq server=/nspd.gov.ru/8.8.8.8 (минует sing-box FakeIP 127.0.0.42)
↓ ответ: 2.63.246.71-76 (реальные IP)
[Windows НИИКН] routing table: 2.63.246.0/24 → wt0 (NetBird, metric=1)
↓ WireGuard → 100.70.128.49 (pve-LionART)
[pve-LionART 10.253.1.253] NetBird FORWARD + MASQUERADE
↓ default gateway 10.253.1.1
[MikroTik LionART 10.253.1.1] NAT masquerade на WAN
↓ src=195.26.30.163 (Telekom /27)
[НСПД 2.63.246.0/24] HTTP 200 ✅ (вкл. sso / auth / api субдомены)
```
### Ключевое отличие от WG-схемы 2026-04-20
- **Только подсеть `2.63.246.0/24`** идёт через туннель, не весь интернет → общий traffic не замедляется.
- **NetBird push** доставляет маршрут на все 50 пиров в группе `All` автоматически → ничего устанавливать на Windows-машины НИИКН.
- Удалённые сотрудники (Мексика, Казахстан) получают фикс автоматически.
## Конфигурация
### 1. NetBird Network Route (через API)
```bash
TOKEN='nbp_YTEmAVpS0hLhnTeJ09q3wYaC0AAXjN21NPvM' # из 2026-04-16-unifi-migration-peredelki
curl -X POST -H "Authorization: Token $TOKEN" -H "Content-Type: application/json" \
https://api.netbird.io/api/routes \
-d '{
"description": "NSPD bypass (2.63.246.0/24 → pve-LionART WAN 195.26.30.163)",
"network_id": "nspd-bypass",
"enabled": true,
"peer": "cuisnd3l0ubs73bsbbl0",
"network": "2.63.246.0/24",
"metric": 9999,
"masquerade": true,
"groups": ["cqgcidrl0ubs73f2hgf0"]
}'
```
| Поле | Значение |
|------|----------|
| Route ID | `d7ji3ajl0ubs73a92s40` |
| Peer (exit) | `cuisnd3l0ubs73bsbbl0` = pve-LionART (100.70.128.49) |
| Groups | `cqgcidrl0ubs73f2hgf0` = All (50 пиров) |
| Masquerade | true (NetBird ставит iptables MASQUERADE для WG→WAN SNAT) |
### 2. OpenWrt 192.168.1.50 — dnsmasq DNS override
Sing-box podkop FakeIP-ит `nspd.gov.ru` (и ряд других gov.ru-доменов, например `zakupki.gov.ru`) через community-list `russia_outside`. Решение — делегировать эти домены на 8.8.8.8 напрямую, минуя sing-box:
```bash
# ssh root@192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci add_list dhcp.@dnsmasq[0].server='/zakupki.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
После этого dnsmasq для запросов `*.nspd.gov.ru` и `*.zakupki.gov.ru` идёт на 8.8.8.8, не на `127.0.0.42:53` (sing-box).
> Для `zakupki.gov.ru` **NetBird route не нужен** — МТС WAN его не блокирует, достаточно обхода FakeIP. Только NSPD требует exit-node через pve-LionART (правило выше).
Проверка:
```bash
nslookup nspd.gov.ru 192.168.1.50
# Должно вернуть 2.63.246.71-76, не 198.18.0.x
```
### 3. Клиенты — ничего делать не нужно
- NetBird-пиры в группе `All` получают маршрут `2.63.246.0/24 → wt0` автоматически.
- Клиенты LAN НИИКН получают реальные IP НСПД через OpenWrt dnsmasq.
- Если на машине остались старые hosts-записи `195.26.30.163 nspd.gov.ru` от снесённой попытки — убрать (браузер иначе пойдёт на 195.26.30.163:443, там никто не слушает).
## Cleanup старого socat-пути (выполнено 2026-04-21)
```bash
# pve-LionART
systemctl disable --now nspd-socat.service
rm /etc/systemd/system/nspd-socat.service
systemctl daemon-reload
# MikroTik LionART
/ip firewall nat remove [find comment="NSPD socat bypass for NIIKN"]
# Windows 192.168.1.202 — hosts почищен вручную через WinRM
```
## Диагностика
### Проверить NetBird route на клиенте
```powershell
Get-NetRoute -DestinationPrefix "2.63.246.0/24"
# Должно быть: InterfaceAlias=wt0, RouteMetric=1
Find-NetRoute -RemoteIPAddress 2.63.246.71
# Должно: InterfaceAlias=wt0
```
### Проверить DNS (не должен быть FakeIP)
```powershell
Resolve-DnsName nspd.gov.ru -Server 192.168.1.50 -DnsOnly
# Должно: 2.63.246.71-76, НЕ 198.18.0.x
```
### Проверить трафик на pve-LionART
```bash
ssh root@pve-LionART 'tcpdump -i wt0 -n "dst net 2.63.246.0/24" -c 10'
```
## Откат
### NetBird route
```bash
curl -X DELETE -H "Authorization: Token $TOKEN" \
https://api.netbird.io/api/routes/d7ji3ajl0ubs73a92s40
```
### OpenWrt DNS override
```bash
uci del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
## Риски и ограничения
1. **NetBird зависимость** — если daemon упадёт на клиенте, маршрут `2.63.246.0/24` пропадёт и запросы уйдут через обычный WAN → WAF block.
2. **OpenWrt зависимость** — если OpenWrt 192.168.1.50 упадёт, DNS `nspd.gov.ru` вернётся к FakeIP (или перестанет резолвиться). Остальной интернет не ломается.
3. **Cert-pinning** — НСПД использует сертификат Минцифры. NetBird не трогает TLS, end-to-end между клиентом и НСПД. Проблем быть не должно.
4. **Росреестр разблочит 85.235.181.190** (заявка 8-800-100-34-34) — тогда можно удалить NetBird route и dnsmasq override, НСПД заработает напрямую.
## Теги
`#niikn` `#mmfb` `#lionart` `#netbird` `#nspd` `#bypass` `#dns` `#fix`

68
decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md
View File

@@ -1,68 +0,0 @@
---
date: 2026-04-21
type: decision
tags: [decision, network, wireguard, znamenskoye, ohothozyistvo, backup-channel]
---
# 2026-04-21: Восстановление резервного WG-канала для охотхозяйства
## Контекст
Объект «Знаменское Охотхозяйство» работает на LTE через MikroTik hAP ax lite LTE6 (CGNAT), единственный канал управления — Netbird через Orange Pi R1+ LTS (OpenWrt 21.02). Нужен резервный канал на случай деградации Netbird. Ранее пробовали WG на MikroTik — ломал интернет (default route hijacking через distance=2). Физического доступа к объекту нет.
Существующий WG на Orange Pi (wg0 → VPS 89.111.140.86) числился в документации как «сломан из-за port mismatch», но на самом деле не работал по **двум** причинам:
1. Orange Pi `wg0` endpoint port: `51820` — VPS слушает `51821`.
2. VPS `/etc/wireguard/wg0.conf` пира `10.5.0.3` имел pubkey `zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8=` (вероятно, старый ключ MikroTik-овского `wg-vps`), а Orange Pi шлёт от ключа `QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI=`.
## Варианты
1. Починить существующий WG на Orange Pi (минимум правок, WG не трогает default route на OpenWrt).
2. Поднять AmneziaWG на Orange Pi по схеме НИИКН (требует OpenWrt 22.03+, Orange Pi на 21.02 — обновление sysupgrade без физдоступа = риск окирпичивания).
3. Включить WG на MikroTik заново — известная проблема с default route, отпадает.
## Решение
**Вариант 1.** Починить WG на Orange Pi, оставить MikroTik `wg-vps` disabled.
Изменения:
- На Orange Pi: `uci set network.wg0_peer.endpoint_port='51821'``ifdown wg0 && ifup wg0`.
- На VPS: `sed` в `/etc/wireguard/wg0.conf` (бэкап `.bak-20260421-1512`) — PublicKey пира `10.5.0.3` заменён на `QK2SMILE...`. Перечитано атомарно `wg syncconf wg0 <(wg-quick strip wg0)`**другие пиры не затронуты** (10.5.0.4 Home 4.37 TiB трафика, 10.5.0.2 З-29).
Проверено:
- VPS ↔ Orange Pi (10.5.0.3): 0% loss, RTT ~40-107 мс
- VPS ↔ MikroTik (192.168.8.1): 0% loss, RTT ~40 мс
- VPS ↔ NVR (192.168.8.247): 0% loss
- DNAT публичных портов: `http://89.111.140.86:8180/` (NVR Web) → HTTP 200 за 0.22s
- Интернет на объекте не пострадал
## Последствия
### Что обновлено
- [Документация охотхозяйства](../claude-memory/znamenskoye-ohothozyistvo.md) — актуализированы разделы 2, 3, 5, 6.
- Netbird IP Orange Pi изменился: `100.70.63.67``100.70.106.227` (Connected P2P, не Relayed как писали ранее).
### Новый ключ доступа к VPS
SSH-ключ ранее был «на clawdbot LXC 129», но clawdbot больше нет (только LXC 137 openclaw). Заведён новый ключ:
- Локальный файл: `~/.ssh/vps_znam_key` (RSA-2048, сгенерирован панелью sweb.ru)
- Имя ключа в sweb.ru: `claude`
- **TODO (Олег):** сохранить приватный ключ в Bitwarden `bit.dttb.ru` как `VPS znam (89.111.140.86)` — чтобы не потерять снова.
### Резервные каналы объекта (после фикса)
| # | Канал | Путь |
|---|-------|------|
| 1 (основной) | Netbird mesh | Mac → 100.70.106.227 → 192.168.8.0/24 |
| 2 (резерв) | WG через VPS | Интернет → VPS → WG 10.5.0.1↔10.5.0.3 → 192.168.8.0/24 |
DNAT камер/NVR через VPS 89.111.140.86:8xxx теперь реально работает (до фикса транспорт был мёртв).
### Отложено (опционально)
- Второй WG-peer на VPS `:443/udp` — защита от DPI LTE-оператора, если начнёт блокировать `:51821`.
- `autossh` reverse tunnel с Orange Pi на VPS — третий канал на случай падения и Netbird, и WG.
- Обновление Orange Pi до OpenWrt 24.10 + AWG по схеме НИИКН — отложено из-за отсутствия физдоступа.
### Почему документация была неверной
В старом `znamenskoye-ohothozyistvo.md` описан только port mismatch (51820 vs 51821) — но смена порта одна handshake не восстанавливает, т.к. pubkey пира на VPS тоже не соответствовал Orange Pi. Вероятный источник путаницы — пир на VPS создавался когда WG пытались поднять на MikroTik (свой keypair), потом переключили на Orange Pi (другой keypair) и на VPS ключ не обновили.
## Теги
`#znamenskoye` `#ohothozyistvo` `#wireguard` `#openwrt` `#backup-channel` `#vps` `#fix`

110
decisions/2026-04-24-finland-vps-malware-cleanup.md
View File

@@ -1,110 +0,0 @@
---
date: 2026-04-24
type: incident
tags: [niikn, vpn, security, malware, finland]
---
# Finland VPS 78.17.4.225 — инцидент XorDDoS + очистка
## Обстоятельства
- 24 Apr провайдер adminvps.ru заблокировал сервер за **14 ТБ трафика за ~11 дней** (~1.27 ТБ/день)
- Олег доплатил +8 ТБ, сервер снова в сети
- AmneziaVPN НИИКН (клиенты через OpenWrt 10.8.1.16) всё это время работал, но на фоне шёл malware
## Диагноз
Семейство **Linux/XorDDoS** (или близкий вариант). Маскировки:
- `/usr/bin/zneirjeklr` — главный бинарь, cmdline `[rcu_gp]` (под kernel thread)
- `/etc/init.d/zneirjeklr` — SysV init persistence (автогенерит systemd unit)
- `/etc/cron.hourly/gcc.sh` — backup persistence, cp из `/lib/libudev.so` в `/lib/libudev.so.6` и запуск
- `/usr/local/bin/lvm2-monitor` — под LVM monitor
- `/lib/libudev.so` + `/usr/lib/libudev.so` — под libudev
- `/tmp/*` + `/var/tmp/*` — дропперы с числовыми именами (3.2 МБ каждый)
- `/var/tmp/QvqDAQNp` — UPX-packed дроппер (14 МБ)
- cmdline `hald-runner` / `mingetty tty1` — фейковые имена процессов
## Хронология (по mtime)
| Дата | Событие |
|------|---------|
| 28 Mar 23:59 | Первый успешный `Accepted password` с 172.18.0.3 (panel-web legitimate или уже compromised) |
| 7 Apr 19:44 | Дроппер `/var/tmp/QvqDAQNp` создан |
| 13 Apr 5:54-5:59 | Массовое создание 7 дропперов в `/var/tmp/` |
| 17 Apr 17:33 | Ещё волна (EXT4 remount в dmesg) |
| 20 Apr 02:13 | `zneirjeklr.service` активирован (systemd-sysv-generator) |
| 23 Apr 14:49 | Провайдер остановил сервер (квота) |
| 24 Apr 11:40 | Олег оплатил, сервер поднялся — malware сразу запустился |
| 24 Apr 12:00-12:30 | Очистка |
## C2 инфраструктура
- 141.98.10.115:1531
- 170.168.103.27:29205
- 64.89.161.144:40778
## Точка входа
**RCE в PHP-панели AmneziaVPN (`amnezia-panel-web`)** — НЕ SSH brute-force.
Доказательство: единственные успешные `Accepted password` в auth.log — с 176.62.183.186 (Олег) и 172.18.0.3 (панель, легитимный `collect_metrics.php`). **Ни одного Accepted с внешнего malware-IP.**
Брут извне был (91.142.77.101: 67k, 91.142.78.60: 66k, 91.142.78.8: 36k попыток) — НЕ пробил.
## Что сделано
1. **Блок C2**`iptables -I OUTPUT -d <C2> -j DROP` × 3
2. **Kill + empty + chattr +i** на все 10 malware-файлов (пересоздаются но с нулевым содержимым и immutable — записаться не могут)
3. **SSH усилен:**
- Убран `PubkeyAuthentication no` из `/etc/ssh/sshd_config.d/99-cloud-init.conf` (cloud-init ставил по умолчанию — вот почему раньше входили только паролем)
- `PasswordAuthentication no` везде
- Новый root пароль `Ztey8pwWBiNNiMU09y76` (сохранён в `/root/.new_root_pw`), но по сути пароль уже не используется
4. **Docker→host SSH заблокирован:** `iptables -I INPUT -s 172.17.0.0/16 -p tcp --dport 22 -j DROP` (× 4 сети). **Важно:** это ломает `amnezia-panel/collect_metrics.php` — панель больше не получает метрики хоста. ВПН-туннели работают.
5. **fail2ban** установлен, active. Whitelist для docker сетей добавлен в `/etc/fail2ban/jail.d/docker-ignore.conf`.
6. **iptables-persistent** — правила сохранены в `/etc/iptables/rules.v4`, выживут reboot.
## Forensic артефакты (на сервере)
- `/root/forensic-20260424/zneirjeklr.bin` — копия бинарника
- `/root/forensic-20260424/1380609993.bin` — копия второй стадии
- `/root/clean-*.log` — лог очистки
- `/root/.ssh/authorized_keys.bak-20260424` — бэкап authorized_keys до дедупликации
## Что ещё надо (не сделано)
1. **Обновить/пересобрать amnezia-panel-web** — там PHP-RCE, может вернуться (текущий образ `amneziavpnphp_web` из `/opt/amneziavpnphp/docker-compose.yml`)
2. **Восстановить метрики панели** — либо положить SSH-ключ из контейнера в authorized_keys хоста, либо отключить `collect_metrics.php`
3. Мониторинг: `vnstat -d` раз в сутки, алерт при >50 ГБ/день
4. Через ~24 часа проверить `iptables -nvL OUTPUT | grep DROP` — если счётчики всё ещё растут = остался watchdog
5. Проверить другие контейнеры (amnezia-panel-db, vpn-nginx) на заражение
## Как заходить теперь
```bash
ssh -i ~/.ssh/id_ed25519 root@78.17.4.225 # только ключ
# Пароль sshpass больше не работает (PasswordAuthentication=no)
```
## Проверка через 3 часа после очистки (24 Apr ~15:30 UTC)
**Всё устойчиво:**
- Malware-процессов: 0
- Внешних подозрительных соединений: 0
- Файлы-ловушки целы (0 байт + `chattr +i`), новых дропперов в /tmp/var/tmp нет
- C2 OUTPUT DROP счётчики **не растут** (только +6 пакетов на 170.168.103.27 — доумирающие TCP-ретраи): 95 / 80 / 21
- INPUT DROP `amnezia-panel→host:22` — 10,563 пакетов (легитимный collect_metrics.php каждую минуту, безвреден)
- fail2ban: 54 IP забанены за сутки, 1211 failed отбито
- vnstat: вчера 1.77 GiB, сегодня 749 MiB (92 kbit/s) — **норма** (раньше 120 Мбит/с при заражении)
- AmneziaWG: handshake свежий, клиенты НИИКН активны, передано 2.03 GiB
**Очистка устойчива. Watchdog'ов не осталось. Сервер можно оставить в работе.**
## Хеши malware (для blocklist)
Сохранены в `/root/forensic-20260424/`:
- `zneirjeklr.bin` (114779 байт) — главный бинарь
- `1380609993.bin` (3301552 байт) — вторая стадия
## Сетевые IOC (Indicators of Compromise)
**C2 IP (заблокированы в OUTPUT):**
- 141.98.10.115:1531
- 170.168.103.27:29205
- 64.89.161.144:40778
**Brute-force источники (топ-10 за период до очистки):**
- 91.142.77.101 — 67,267 попыток
- 91.142.78.60 — 66,472
- 91.142.78.8 — 36,116
- 176.120.22.13 — 5,164
- 223.76.107.28 — 5,131
- 80.66.66.70 — 3,128
Эти IP уже автоматически попадают в fail2ban при появлении.

66
decisions/2026-04-28-netbird-watchdog-lxc-132-137.md
View File

@@ -1,66 +0,0 @@
---
date: 2026-04-28
type: decision
tags: [decision, openclaw, netbird, code-server, monitoring]
---
# 2026-04-28: NetBird watchdog на LXC 132 и 137 (фикс "бот молчит")
## Симптом
Олег пишет Максимке (openclaw, LXC 137) с 10:10 до 11:09 — **9 сообщений без ответа**. В логах gateway:
```
FailoverError: LLM request failed: network connection error
502 [kiro/claude-sonnet-4.5]: fetch failed (reset after 1s)
502 [claude/claude-sonnet-4-6]: fetch failed (reset after 5s)
502 [codex/gpt-5.4]: fetch failed (reset after 2s)
```
Все 3 модели в failover-цепочке падают с TCP-reset за 1-5 секунд.
## Корень
NetBird daemon на **LXC 132 (code-server, OmniRoute + CLIProxy)** в зомби-состоянии:
```
Management: Connected
Signal: Connected
Relays: 0/4 Available ← застряло
Nameservers: 0/0 Available
```
DNS-запросы к `1.1.1.1` через `wt0`-туннель падают мгновенно с `write: required key not available` — WireGuard handshake с пиром не завершён, ключ не загружен в ядро. Поэтому curl на `api.anthropic.com` / `api.openai.com` отвечает `HTTP 000` за 0.0001s. CLIProxy без апстрима возвращает HTTP 500 на каждый POST.
Ручной `systemctl restart netbird` сразу чинит — Relays поднимаются 4/4, DNS работает, curl Anthropic = 405, OpenAI = 401.
## Решение
Watchdog на LXC 132 и LXC 137:
- `/usr/local/bin/netbird-watchdog.sh` — проверяет `netbird status`. Если `Relays: 0/N` или `Peers count: 0/N` (при N>0 и Management=Connected) — `systemctl restart netbird`. Минимум 5 мин между рестартами (lock-файл `/run/netbird-watchdog.last-restart`).
- `netbird-watchdog.service` (oneshot) + `netbird-watchdog.timer` (каждые 2 мин).
## Деплой
```bash
for CT in 132 137; do
pct push $CT netbird-watchdog.sh /usr/local/bin/ --perms 0755
pct push $CT netbird-watchdog.service /etc/systemd/system/
pct push $CT netbird-watchdog.timer /etc/systemd/system/
pct exec $CT -- systemctl daemon-reload
pct exec $CT -- systemctl enable --now netbird-watchdog.timer
done
```
Скрипты — `snippets/netbird-watchdog/`.
## Логи
Решение пишет в journalctl с tag `netbird-watchdog`:
```bash
journalctl -t netbird-watchdog -n 20
```
Если за неделю не было ни одного срабатывания — проблема была разовой. Если срабатывает регулярно — нужно копать корень почему wireguard handshake разваливается (MTU? фрагментация UDP? провайдер режет?).

56
decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md
View File

@@ -1,56 +0,0 @@
---
date: 2026-04-28
type: decision
tags: [decision, niikn, network, dns, podkop]
---
# 2026-04-28: Открыть uookn.sev.gov.ru из НИИКН (DNS override)
## Проблема
Сотрудники НИИКН жалуются — не открывается `https://uookn.sev.gov.ru/` (Управление по охране объектов культурного наследия Севастополя, на Bitrix).
## Диагноз
По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
| Точка | HTTP | Real IP |
|-------|------|---------|
| Mac (Ростелеком Истра) | 200 | 213.59.161.38 |
| pve-LionART (чистый WAN) | 200 | 213.59.161.38 |
| pve-niikn vmbr0 (МТС B2B) | 200 | 213.59.161.38 |
| OpenWrt 192.168.1.50 (DNS клиентов НИИКН) | — | **198.18.1.123 (FakeIP)** |
Оба WAN отдают сайт. МТС не блочит. **Причина**`sev.gov.ru` подпадает под podkop community-list (вероятно `russia_outside`), DNS подменяется FakeIP, трафик уходит в awg0 Финляндию и не возвращается. Тот же паттерн, что `zakupki.gov.ru`.
## Решение
OpenWrt `192.168.1.50` — добавлен root-домен в dnsmasq `server=`:
```bash
ssh root@192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/sev.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
NetBird route **НЕ требуется** (в отличие от nspd).
## Проверка
```
DNS 192.168.1.50: uookn.sev.gov.ru → 213.59.161.38
МТС vmbr0 + curl: HTTP 200, 216 KB
OpenWrt curl: HTTP 200, 216 KB
```
Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
## Текущий список dnsmasq override на 192.168.1.50
```
'127.0.0.42' # podkop sing-box
'/nspd.gov.ru/8.8.8.8' # + NetBird route 2.63.246.0/24
'/zakupki.gov.ru/8.8.8.8' # только DNS
'/sev.gov.ru/8.8.8.8' # только DNS — добавлено сегодня
```

133
decisions/2026-04-28-rustdesk-lejianwen-pro-migration.md
View File

@@ -1,133 +0,0 @@
---
date: 2026-04-28
type: migration
tags: [rustdesk, lxc116, npm, lejianwen, must-login, isolation]
---
# RustDesk migration: OSS hbbs/hbbr → lejianwen-pro
## Цель
Закрыть дыру: техник Клиента-А не должен подключаться к машинам Клиента-Б, даже зная ID и пароль. Это задача `MUST_LOGIN=Y` на уровне `hbbs`.
## Что было
- LXC 116 `rustdeskserver` — Debian 12, 10.0.0.244 / 100.70.191.161 (NetBird)
- Установлено через ProxmoxVE community-script (нативно, не Docker):
- `hbbs` 1.1.14 — **OSS** Purslane (поддерживает только `--key`, `-r`, `--rendezvous-servers`, `ALWAYS_USE_RELAY`)
- `hbbr` 1.1.14 — OSS
- `rustdesk-api` 2.7 — **lejianwen** (это уже не OSS, но без настроек: lang=zh-CN, jwt пустой, домен 192.168.1.66 мусорный)
- Конфиг `/var/lib/rustdesk-api/conf/config.yaml` — почти дефолтный, никто не правил
- БД `rustdeskapi.db` 352K с 1 admin user + 13 peers (внутренние LAN)
- NPM Proxy Host 14 для `remot.dttb.ru` смотрел на **мёртвый 10.0.0.43:21114**, streams 30-35 на **мёртвый 10.0.0.44**, SSL force/HTTP/2/block_exploits всё off
- `https://remot.dttb.ru/_admin/` снаружи: **502 Bad Gateway** (никто никогда не пользовался web-админкой через домен)
- Peers всё равно работали: внутренние через LAN 10.0.0.244, внешние видимо через NetBird mesh / DNAT на роутере минуя NPM
## Найденная развилка
OSS `hbbs` не понимает `MUST_LOGIN`. Этот патч есть только в `lejianwen/rustdesk-server-pro` (тот же бинарь, что в docker-образе `lejianwen/rustdesk-server-s6`). Без него изоляция работает только на уровне `rustdesk-api` (адресные книги по группам), но любой клиент с правильным ключом всё равно может ходить по ID минуя API.
## Варианты
| Вариант | Действие | Плюс | Минус |
|---|---|---|---|
| A1 | Подменить только бинари hbbs/hbbr на pro, остальное оставить | Минимум потрясений, ключ/БД/api/NPM streams не трогаем | На LXC два разных способа управления (apt + override). apt-mark hold нужен |
| A2 | Оставить OSS, изоляция только через api | Ноль рисков ломки | Главное требование (изоляция по ID) не закрыто |
| A3 | Полная миграция в Docker s6 (как в исходном промте Олега) | Единый стек, проще будущие upgrades | Требует Docker, расширения rootfs LXC, миграции БД, больше точек отказа сейчас |
**Выбран: A1.** A3 — отдельной задачей через 2-4 недели когда дойдём до MySQL/HA/MCP-обёртки.
## Что сделано
### LXC 116
1. **Бэкап** `/root/rustdesk-backup-20260428-1134/` (ключи, db_v2.sqlite3, rustdeskapi.db, config.yaml.orig, systemd units, JWT, admin pw)
2. **Pro-бинари** извлечены из `lejianwen/rustdesk-server-s6:latest` через docker на Proxmox-host (на самом 10.0.0.250 docker есть, в LXC 116 — нет):
```
docker create --name rd-extract lejianwen/rustdesk-server-s6:latest
docker cp rd-extract:/usr/bin/hbbs /tmp/...
docker cp rd-extract:/usr/bin/hbbr /tmp/...
pct push 116 ...
```
3. **Подмена** через `mv`:
- `/usr/bin/hbbs.oss-1.1.14` ← старый
- `/usr/bin/hbbs` ← новый pro (поддерживает `--must-login Y`)
4. **`apt-mark hold rustdesk-server-hbbs rustdesk-server-hbbr`** — apt не перезапишет
5. **Systemd overrides:**
- `/etc/systemd/system/rustdesk-hbbs.service.d/override.conf`:
```
ExecStart=
ExecStart=/usr/bin/hbbs -k _ -r remot.dttb.ru:21117 --must-login Y
```
- `/etc/systemd/system/rustdesk-hbbr.service.d/override.conf`:
```
ExecStart=
ExecStart=/usr/bin/hbbr -k _
```
6. **`config.yaml`** правки (точечно, без пересборки):
- `lang: ru`
- `admin.title: "Remote Support Portal"`
- `app.show-swagger: 1`, `ban-threshold: 5`
- `rustdesk.id-server / relay-server: remot.dttb.ru`
- `rustdesk.api-server: https://remot.dttb.ru`
- `rustdesk.key: R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU=` (значение `id_ed25519.pub`)
- `rustdesk.key-file: /var/lib/rustdesk-server/id_ed25519.pub`
- `jwt.key: <openssl rand -base64 48>`
7. **Admin pw сменён** через CLI: `rustdesk-api reset-admin-pwd <pw>` (cd в `/var/lib/rustdesk-api/`)
### NPM (LXC 103 через API)
1. Proxy Host 14 (id 14): `forward_host: 10.0.0.244`, `ssl_forced/http2/block_exploits=true`, `caching_enabled=false`, `allow_websocket_upgrade=true`
2. **Custom Nginx Configuration** (advanced_config) добавлен с `location /ws/id` (→21118) и `/ws/relay` (→21119) — для будущей All-in-HTTPS архитектуры (клиенты за корпоративными firewall'ами через 443)
3. Stream 30 (TCP 21114) **удалён** — API не должен жить голым TCP
4. Streams 31-35 пересозданы (id 38-43) на 10.0.0.244 (PUT не работает на streams API — `additional properties` ошибка; делать DELETE+POST с минимальным body без `certificate_id`)
5. Добавлен Stream id 43: 21116/TCP (id-server) дополнительно к Stream id 39: 21116/UDP
## Подтверждения
- `sha256sum id_ed25519.pub` идентичен до/после миграции (`abfbebe9…a38c6b`) ✅
- `sha256sum id_ed25519` (приватный) идентичен ✅
- `MUST_LOGIN=Y` явно в `/var/log/rustdesk-server/hbbs.log` после рестарта
- `Key: R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU=` тот же
- `Private key comes from id_ed25519` — pro-hbbs нашёл существующий ключ, не перегенерировал
- Все 7 портов 21114-21119 слушают
- `https://remot.dttb.ru/_admin/` снаружи: **HTTP/2 200 OK** (раньше 502)
- 13 существующих peers продолжают подключаться (БД та же)
## Грабли
1. **community-script ставит OSS hbbs**, не pro. Бинарь от Purslane Ltd. Версия 1.1.14 у обоих идентична, но pro имеет дополнительный CLI-флаг `--must-login Y` и читает `MUST_LOGIN` env. Проверка через `grep -ao MUST_LOGIN /usr/bin/hbbs` (`strings` в LXC нет).
2. **Admin API не пускает через curl** даже с правильным admin-токеном из `/api/admin/login` — требует web-сессию. Юзеров и группы создавать через UI.
3. **NPM PUT на streams возвращает 400 `additional properties`** — даже если отправить только разрешённые поля. Решение: DELETE + POST с минимальным body (5 полей: incoming_port, forwarding_host, forwarding_port, tcp_forwarding, udp_forwarding). Без `certificate_id`.
4. **`ENCRYPTED_ONLY` env-переменная** не нашлась как строка в pro-бинаре hbbs. Возможно управляется через config или этого патча нет в публичном `lejianwen/rustdesk-server-s6`. MUST_LOGIN сам по себе закрывает изоляцию — шифрование RustDesk и так включено для key-серверов.
5. **NPM streams для портов 21115-21119 по факту не использовались** — peers подключались внутри LAN (10.0.0.244 напрямую) или через NetBird (100.70.191.161). Поэтому "поломанная" конфигурация NPM не мешала. Внешний DNAT на роутере dttb.ru вероятно идёт прямо на rustdesk-сервер минуя NPM (надо ещё разок проверить — или подтвердить что внешние клиенты ходят через NetBird).
## Rollback
`bash /root/rustdesk-rollback.sh` — за 30 секунд:
- mv бинари обратно (`/usr/bin/hbbs.oss-1.1.14` → `/usr/bin/hbbs`)
- удаляет systemd overrides
- восстанавливает `config.yaml.orig`
- снимает apt-mark hold
- рестартует сервисы
NPM-настройки **скриптом не откатываются** — ручной откат через UI или из `/data/database.sqlite` LXC 103.
## TODO (отдельные задачи)
- Создать клиентские группы и юзеров через web (Олег, в /_admin/)
- Протестировать изоляцию на тестовой клиентской машине
- Раскатать новый `RustDesk2.toml` на ~30-50 машин через GPO/скрипт (старые конфиги тоже работают — ключ тот же)
- Бэкап БД API + ключей по cron на ArtLeon через NetBird/rsync
- Через 2-4 недели — миграция в Docker rustdesk-server-s6 (Вариант A3), MySQL/HA, MCP-обёртка
## Связанные файлы
На LXC 116:
- `/root/rustdesk-backup-20260428-1134/` — бэкап и креды
- `/root/rustdesk-rollback.sh` — откат (chmod 700)
- `/root/RustDesk2.toml` — шаблон клиента
- `/root/rustdesk-migration-report.md` — расширенный отчёт
В kb:
- [[projects/dttb/rustdesk]] — справочник по серверу
- [[projects/dttb/credentials]] — креды (admin pw, JWT_KEY)
- [[projects/dttb/proxmox-inventory]] — LXC 116 запись обновлена

133
decisions/2026-04-29-rustdesk-client-deployment-package.md
View File

@@ -1,133 +0,0 @@
---
date: 2026-04-29
type: deployment
tags: [rustdesk, deployment, installers, nextcloud, automation]
---
# RustDesk client deployment package — Nextcloud `RustDesk install/`
## Цель
Удобное развёртывание ~30-50 клиентских машин (НИИКН + клиенты) с pre-настроенным RustDesk. Клиент должен после установки сразу подключаться к `remot.dttb.ru`, без ручной настройки api/relay/key.
## Что сделано
В корне Nextcloud (`Nextcloud-admin@dttbru`) создана папка **`RustDesk install/`** с готовыми установщиками + автоматическими скриптами + конфигом.
### Структура
```
RustDesk install/ ~766 MB total
├── README.md инструкция для клиента
├── RustDesk2.toml шаблон конфига (ID/relay/api/key)
├── windows/
│ ├── rustdesk-1.4.6-x86_64.exe 23 MB - основной installer
│ ├── rustdesk-1.4.6-x86_64.msi 23 MB - MSI для GPO
│ ├── Install-Windows.ps1 PowerShell автоустановка
│ └── Install-Windows.bat wrapper, двойной клик → UAC → автоинстал
├── linux/
│ ├── rustdesk-1.4.6-x86_64.deb 22 MB
│ ├── rustdesk-1.4.6-aarch64.deb 20 MB
│ ├── rustdesk-1.4.6-x86_64.rpm 30 MB
│ ├── rustdesk-1.4.6-aarch64.rpm 29 MB
│ ├── rustdesk-1.4.6-x86_64.AppImage 81 MB - для дистрибутивов без apt/dnf
│ └── install-linux.sh bash, авто-detect arch + pkg manager
├── macos/
│ ├── rustdesk-1.4.6-aarch64.dmg 24 MB - Apple Silicon
│ ├── rustdesk-1.4.6-x86_64.dmg 31 MB - Intel
│ └── install-macos.sh bash, mount dmg + copy to /Applications
└── android/
└── rustdesk-1.4.6-universal.apk 67 MB
```
Версия RustDesk **1.4.6** (latest stable, релиз 2026-03-05). Совпадает с тем что у Олега на Mac и Windows-сервере.
## Что делает скрипт
1. **Установка** — silent через системный пакетный менеджер
2. **Остановка сервиса** перед перезаписью конфига (`Stop-Service RustDesk` / `systemctl stop rustdesk`)
3. **Копирование `RustDesk2.toml`** в правильное место:
- Windows service mode: `C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\RustDesk\config\`
- Windows user mode (fallback): `%APPDATA%\RustDesk\config\`
- Linux service: `/root/.config/rustdesk/`
- Linux user: `~/.config/rustdesk/`
- macOS: `~/Library/Preferences/com.carriez.RustDesk/`
4. **Генерация permanent password** (10 символов, случайный per-machine) через `rustdesk --password <pw>`
5. **Сохранение creds** в файл (chmod 600):
- Windows: `C:\Users\Public\rustdesk-credentials.txt` + `C:\Users\Public\Desktop\RustDesk-ID.txt`
- Linux: `/root/rustdesk-credentials.txt`
6. **Запуск сервиса**`Start-Service RustDesk` / `systemctl start rustdesk`
7. **Вывод** ID + пароля для пользователя
macOS — без auto-password (sandboxing) — пользователь устанавливает permanent password сам через UI.
## Конфиг сервера (RustDesk2.toml)
```toml
rendezvous_server = "remot.dttb.ru:21116"
nat_type = 1
serial = 1
[options]
custom-rendezvous-server = "remot.dttb.ru"
relay-server = "remot.dttb.ru"
api-server = "https://remot.dttb.ru"
key = "R0lA4r77hAGw6YRL1qG3JioVqQ0Q0fJfzkwlAGqR6jU="
allow-websocket = "Y"
verification-method = "use-permanent-password"
approve-mode = "password"
```
## Способы развёртывания
### Текущий (offline-friendly)
1. Олег делает в Nextcloud public share-link (пока не сделано — отдельная ручная задача)
2. Шлёт ссылку клиенту/технику
3. Тот скачивает свою папку → запускает скрипт → готово
### Будущее — one-liner
Положить скрипт на rustdesk-api сервер (или public path в NPM):
- `irm https://remot.dttb.ru/install/win.ps1 | iex` (Win)
- `curl -sL https://remot.dttb.ru/install/linux.sh | sudo bash` (Linux)
Скрипт автоматически качает installer с github.
### Будущее — Strategy
В админке `/_admin/` → Configuration Strategy → создать policy с настройками. Push'ит конфиг существующим клиентам автоматически. Требует чтобы клиент изначально знал api-server URL — то есть всё равно первичная установка нужна.
### Будущее — `rustdesk-licensed-XXXXXXXX.exe` trick
RustDesk при первом запуске парсит своё имя файла, если оно соответствует formату — применяет встроенный config. Требует утилиту шифрования config (rustdesk-utils 2.x от lejianwen-pro). Наш `rustdesk-utils` 1.1.14 этого не умеет — нужно скачать pro-версию отдельно или использовать веб-инструмент https://aps.lejianwen.com.
### Будущее — WinRM/SSH push для существующих машин
Уже есть NetBird-подключение к большинству Windows-клиентов (Volkkent, Glavtorg, ММФБ, Зеленоград). Можно через `Invoke-Command` или `pywinrm` развернуть скрипт удалённо без участия пользователя.
## Безопасность
- **Public link на скачивание лучше с паролем** — в установщике зашит `key=R0lA...`, кто угодно скачавший может зарегистрировать себя как peer на нашем сервере. MUST_LOGIN отбивает подключения, но heartbeat-флуд возможен.
- **Permanent password** случайный per-машина, в файле с chmod 600
- **`MUST_LOGIN=Y` на сервере** — каждый peer должен залогиниться в API после установки. Скрипт этого пока **не делает** — клиент должен залогиниться вручную в RustDesk UI (Settings → Account) или через web `/_admin/`. Автоматизация login через скрипт = отдельная задача (нужен service-token / OIDC).
## Известные ограничения
- **Windows ARM64** — не поддерживается RustDesk 1.4.6 (нет нативного installer'а). Используется x86_64 в эмуляции.
- **Android** — apk без auto-config; пользователь вручную вводит ID/relay/api/key. Автоматизация для Android = другая задача (Intent URL scheme или MDM push).
- **iOS** — RustDesk через App Store, конфиг через QR-код или Universal Link. Не покрыто текущим пакетом.
- **macOS** — без auto-permanent-password (sandboxing CLI ограничен). Пользователь делает через UI.
- **`MUST_LOGIN` post-install** — после установки клиент вынуждены вручную залогиниться. Без login peer виден как online в hbbs, но connections к нему отбрасываются.
## TODO / следующие шаги
- [ ] Олег создаёт public share-link в Nextcloud (с паролем), кладёт ссылку в `snippets/clients/`
- [ ] Подготовить **one-liner-скрипты** на сервере (NPM static path `/install/` → S3 или rustdesk-api resources/public)
- [ ] **Configuration Strategy** в админке lejianwen-api — push config existing peers
- [ ] Скачать `rustdesk-utils` 2.x (lejianwen-pro) для генерации `rustdesk-licensed-*.exe` — single-file deployment без скриптов
- [ ] **Auto-login через скрипт** — создать service-юзера в API с фиксированным password, скрипт логинится этим юзером во время install. После установки админ через `/_admin/` переносит peer в нужную группу.
- [ ] **WinRM bulk-deploy** — список существующих NetBird-managed Windows-машин + Ansible/PowerShell job по разворачиванию
## Связанные файлы
- [[projects/dttb/rustdesk]] — справочник по серверу
- [[../decisions/2026-04-28-rustdesk-lejianwen-pro-migration]] — миграция с OSS на pro
- В Nextcloud: `RustDesk install/` (этот пакет)
- На LXC 116: `/root/RustDesk2.toml` (шаблон)
- На LXC 116: `/root/rustdesk-backup-20260428-1134/admin-password.txt` (admin pw для api)

56
decisions/2026-04-30-niikn-culture-gov-fakeip-fix.md
View File

@@ -1,56 +0,0 @@
---
date: 2026-04-30
type: decision
tags: [decision, niikn, network, dns, podkop]
---
# 2026-04-30: Открыть culture.gov.ru из НИИКН (DNS override)
## Проблема
Сотрудники НИИКН — не открывается `https://culture.gov.ru/` (Минкультуры РФ).
## Диагноз
По алгоритму [[../projects/niikn/govru-quickfix-playbook]]:
| Точка | HTTP | Real IP |
|-------|------|---------|
| Mac (Ростелеком Истра) | 200 | 194.190.9.31 |
| pve-niikn vmbr0 (МТС B2B) | 200 | 194.190.9.31 |
| OpenWrt 192.168.1.50 nslookup → sing-box (127.0.0.42) | — | **198.18.0.96 (FakeIP)** |
| OpenWrt curl через AWG | 000 | (Минкульт блочит зарубежные IP) |
МТС B2B не блочит, сайт живой. **Причина**`culture.gov.ru` подпадает под podkop community-list, DNS подменяется FakeIP, трафик уходит в awg0 Финляндию, оттуда Минкульт даёт Forbidden/timeout. Тот же паттерн, что `zakupki.gov.ru` и `sev.gov.ru`.
## Решение
OpenWrt `192.168.1.50` — добавлен домен в dnsmasq `server=`:
```bash
ssh root@192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/culture.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
NetBird route **НЕ требуется**.
## Проверка
```
DNS 192.168.1.50: culture.gov.ru → 194.190.9.31, 194.190.9.32
pve-niikn curl: HTTP 200, 74 ms через МТС WAN
```
Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
## Текущий список dnsmasq override на 192.168.1.50
```
'127.0.0.42' # podkop sing-box
'/nspd.gov.ru/8.8.8.8' # + NetBird route 2.63.246.0/24
'/zakupki.gov.ru/8.8.8.8' # только DNS
'/sev.gov.ru/8.8.8.8' # только DNS
'/culture.gov.ru/8.8.8.8' # только DNS — добавлено сегодня
```

80
decisions/2026-04-30-openwrt-homelab-agh-podkop-chain.md
View File

@@ -1,80 +0,0 @@
---
date: 2026-04-30
type: decision
tags: [dttb, openwrt, adguard, podkop, dns, youtube-adblock]
hosts: [10.0.0.1]
---
# OpenWrt HomeLab (10.0.0.1): AdGuard Home в DNS-цепочке, фильтры YouTube
## Контекст
На роутере 10.0.0.1 (OpenWrt 24.10.3, Mediatek Filogic) установлен `adguardhome 0.107.57-r1`, но трафик клиентов LAN его **обходил**. dnsmasq форвардил `127.0.0.42` (sing-box подкопа), AGH слушал `127.0.0.1:5353` без клиентов. user_rules в yaml были повреждены (куски Python-листа с залипшими кавычками). Цель — реальная блокировка рекламы для всей сети, в т.ч. максимум возможного для YouTube.
## Решение — гибридная схема
```
LAN client → dnsmasq:53 → AGH:5353 → sing-box:127.0.0.42 → upstream
```
AGH ставится между dnsmasq и sing-box: блокирует ad-домены до sing-box, а sing-box продолжает делать fakeip и роутить подкоп-домены. Это отличается от двух канонических схем `podkop.net/docs/adguard/` (Схема 1: AGH на 127.0.0.10:53 как upstream подкопа; Схема 2: AGH перед подкопом для клиентов), но проще и сохраняет всю существующую логику подкопа.
## Изменения
### `/etc/adguardhome.yaml`
- `dns.upstream_dns``127.0.0.42` (sing-box, единственный)
- Добавлены фильтры:
- `HaGeZi Pro mini` — https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.mini.txt
- `BlocklistProject YouTube` — https://blocklistproject.github.io/Lists/youtube.txt
- `GoodbyeAds YouTube AdBlock` — https://raw.githubusercontent.com/jerryn70/GoodbyeAds/master/Hosts/GoodbyeAds-YouTube-AdBlock.txt
- `user_rules` очищены от мусора, оставлены работающие правила: `googlesyndication.com`, `doubleclick.net`, `youtube.com/{api/stats/watchtime,ptracking,pagead,ads,get_midroll}*`, `googlevideo.com/get_video_info*`, `pagead2.googlesyndication.com`, `static.doubleclick.net`, `stats.g.doubleclick.net`, `googleads.g.doubleclick.net`, `ads.yandex.ru`, `mc.yandex.ru`, `metrika.yandex.ru`, `yandex.ru/ads`, `*.yandex.ru/ads`, `dzen.ru/ads`, `ads.vk.com`, `vk.com/ads`, `top-fwz1.mail.ru`, `adfox.ru`
### UCI
```
uci set podkop.settings.dont_touch_dhcp='1' # подкоп больше не переписывает dhcp
uci -q delete dhcp.@dnsmasq[0].server
uci add_list dhcp.@dnsmasq[0].server='127.0.0.1#5353'
uci commit podkop && uci commit dhcp
/etc/init.d/adguardhome restart
/etc/init.d/dnsmasq restart
```
### Бэкапы (на роутере)
- `/etc/adguardhome.yaml.bak.20260430_001129`
- `/etc/config/dhcp.bak.20260430_001129`
## Верификация
| Запрос на `10.0.0.1` | Ответ | Проверяет |
|---|---|---|
| `doubleclick.net` | `0.0.0.0` | AGH режет ad-домен |
| `pagead2.googlesyndication.com` | `0.0.0.0` | YouTube ad-эндпоинт |
| `wikipedia.org` | `185.15.59.224` | обычный сайт работает |
| `youtube.com` | `198.18.1.77` | fakeip подкопа цел |
## Граничные случаи / что НЕ блокируется
DNS-блокировка убирает рекламную **телеметрию, баннеры, midroll-API** YouTube. **In-stream-ролики** в самих видео сидят на `*.googlevideo.com` (CDN видео) — DNS их разделить не может. Полная блокировка — только клиентом: uBlock Origin (Firefox/Chrome), SponsorBlock, ReVanced/NewPipe (Android), FreeTube (desktop).
## Откат
```bash
ssh root@10.0.0.1 "cp /etc/adguardhome.yaml.bak.20260430_001129 /etc/adguardhome.yaml \
&& cp /etc/config/dhcp.bak.20260430_001129 /etc/config/dhcp \
&& uci set podkop.settings.dont_touch_dhcp=0 && uci commit podkop \
&& /etc/init.d/adguardhome restart && /etc/init.d/dnsmasq restart"
```
## Запомнить (грабли)
- `127.0.0.42` и `127.0.0.53` — зарезервированы подкопом и системой, не использовать как listen для других сервисов (`podkop.net/docs/adguard/`).
- При `dont_touch_dhcp=0` подкоп при каждом start переписывает `dhcp.@dnsmasq[0].server` на `127.0.0.42`, кладя предыдущее в `podkop_server`. Любая ручная замена upstream без `dont_touch_dhcp=1` не переживёт перезапуск.
- AGH-веб: http://10.0.0.1:3000 (admin / хеш в yaml).
- SSH `root@10.0.0.1` с `1qaz!QAZ` **работает** — старая запись в `projects/dttb/openwrt-router.md` про "SSH не работает" устарела.
## Ссылки
- [[../projects/dttb/openwrt-router]] — карточка роутера
- [[2026-04-17-peredelki-podkop-stability-fix]] — справка по подкопу (схемы AGH, fakeip 198.18.0.0/15)
- https://podkop.net/docs/adguard/
- https://podkop.net/docs/dont-touch-my-dhcp/

192
decisions/2026-04-30-rustdesk-pre-prod-audit.md
View File

@@ -1,192 +0,0 @@
---
date: 2026-04-30
type: audit
tags: [rustdesk, security, audit, hardening]
---
# RustDesk pre-production audit + fixes
## Контекст
Перед запуском RustDesk-сервера в продакшн (для удалённого доступа клиентских организаций + личного использования) — системный аудит security, reliability, operations. Findings + примененные fixes.
## Findings & fixes
### 🔴 Critical (исправлено)
#### 1. Права на критичные файлы 644 → 600/640
**Что было:** все sensitive файлы на LXC 116 были world-readable (`-rw-r--r--`):
- `/var/lib/rustdesk-server/id_ed25519` (**приватный ключ сервера**)
- `/var/lib/rustdesk-server/id_ed25519.pub`
- `/var/lib/rustdesk-server/db_v2.sqlite3*` (hbbs БД с peers UUID)
- `/var/lib/rustdesk-api/data/rustdeskapi.db` (хеши паролей юзеров, токены сессий)
- `/var/lib/rustdesk-api/conf/config.yaml` (содержит **JWT secret** и `key`)
**Риск:** при компрометации любого non-root юзера на LXC 116 → leak приватного ключа сервера → весь парк клиентов перестаёт быть приватным; возможность подделки JWT и login as admin.
**Fix (2026-04-30):**
```bash
chmod 600 /var/lib/rustdesk-server/id_ed25519*
chmod 640 /var/lib/rustdesk-server/db_v2.sqlite3*
chmod 640 /var/lib/rustdesk-api/data/rustdeskapi.db
chmod 640 /var/lib/rustdesk-api/conf/config.yaml
```
#### 2. Нет logrotate для rustdesk-логов на 2GB-диске
**Что было:** `/var/log/rustdesk-server/hbbs.log` ~260KB и rosт каждый день. На 2GB-диске LXC 116 (где уже 55% used) логи зальют диск за пару месяцев → сервер ляжет.
**Fix (2026-04-30):** `/etc/logrotate.d/rustdesk`:
```
/var/log/rustdesk-server/*.log /var/log/rustdesk-server/*.error
/var/log/rustdesk-api/*.log /var/log/rustdesk-api/*.error {
daily
rotate 14
compress
delaycompress
notifempty
missingok
copytruncate
su root root
}
```
#### 3. Нет авто-бэкапа БД и ключей
**Что было:** одна вручную сделанная копия `/root/rustdesk-backup-20260428-1134/`. Если завтра LVM упадёт — теряем весь стейт (peers, users, ключи).
**Fix (2026-04-30):** cron daily 03:00 → `/usr/local/bin/rustdesk-backup.sh`:
- tar.gz в `/root/rustdesk-backups/rustdesk-YYYYMMDD.tar.gz`
- ключи + обе БД + config.yaml + systemd overrides
- retention 30 дней (find -mtime +30 -delete)
- chmod 600 на каждый tarball
**TODO:** доставить копии бэкапа на ArtLeon (off-site) через NetBird/rsync.
### 🟡 Medium (исправлено)
#### 4. Нет rate-limit на login → brute-force admin password
**Что было:** `https://remot.dttb.ru/api/admin/login` принимал безlimit запросы. С учётом стандартного pw `1qaz!QAZ` — кто-то с словарём найдёт его за час.
**Fix (2026-04-30):** в NPM `/data/compose/2/data/nginx/custom/http.conf`:
```nginx
limit_req_zone $binary_remote_addr zone=adminlogin:10m rate=5r/m;
limit_req_zone $binary_remote_addr zone=apilogin:10m rate=10r/m;
```
В Proxy Host 14 advanced_config:
```nginx
location = /api/admin/login {
limit_req zone=adminlogin burst=3 nodelay;
proxy_pass http://10.0.0.244:21114;
...
}
location = /api/login {
limit_req zone=apilogin burst=5 nodelay;
proxy_pass http://10.0.0.244:21114;
...
}
```
**Verified:** после 4 быстрых попыток — 503 от NPM. На уровне rustdesk-api также `ban-threshold: 5` забанит user-account на ~1 час.
**Грабли при настройке:** `limit_req_zone` нельзя класть в `server`-контекст — только `http`. Первая попытка положить в advanced_config привела к удалению NPM proxy_host/14.conf и обвалу `remot.dttb.ru`. Восстановилось через disable/enable + переноса zone в http.conf.
### 🟡 Medium (отложено)
#### 5. NC public-link без пароля + содержит RustDesk2.toml с key
**Что было:** `https://dttb.ru/s/wPm8oaiFEyz7Ywx` без пароля и без expiration. ZIP внутри содержит `key=R0lA4r77...`. Любой нашедший ссылку может зарегистрировать peer'а на нашем сервере.
**Status:** **Nextcloud-AIO сейчас лежит** (502 from NPM upstream), новую share создать не получается. Спавнен отдельный task на восстановление NC. После — пересоздать share с паролем + 30 дней expiration.
**Митigation в текущем виде:** `MUST_LOGIN=Y` отбивает входящие connections к незалогиненным peers. Кто-то регистрируется как peer — heartbeat-флуд возможен, но connections не пройдут.
#### 6. Security headers не наследуются в location /
**Что было:** HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy не появляются в response от `https://remot.dttb.ru/_admin/`.
**Корневая причина:** NPM в template для Proxy Host генерит `location /` со встроенным `add_header X-Served-By` (через include `proxy.conf`). По правилу nginx — если в location есть **хоть один** add_header, наследование от server-block отключается. Мои `add_header` в advanced_config (server-level) не применяются к location /.
**Fix-варианты (выбран wait):**
- (a) Patch NPM template `/etc/nginx/conf.d/include/proxy.conf` чтобы добавить headers — теряется при container recreate
- (b) Использовать `more_set_headers` (модуль ngx_headers_more) — нужно проверить что он есть в openresty
- (c) Override `location /` в advanced_config с явными add_header — конфликт с NPM-сгенерированным location /
- (d) **Принять как cosmetic** — TLS 1.2/1.3 + LE cert + rate-limit обеспечивают основную защиту; HSTS на server-level записан в nginx.conf (не на response).
**Status:** **отложено** как cosmetic. Если будем делать (b) или (a) — отдельной задачей.
### 🟢 Low / Informational
| Item | Status |
|---|---|
| Server header раскрывает `openresty` | Accept (мелкий fingerprinting, не критично) |
| `show-swagger: 1` в API | Accept (Олег использует для разработки) |
| TLS 1.2 + 1.3, intermediate ciphers | ✅ optimal |
| LE cert valid until 28 June 2026 | ✅ auto-renew |
| Block Common Exploits (NPM) | ✅ enabled на host 14 |
| `block_exploits: true`, `caching_enabled: false` | ✅ verified |
| `register: false` в API | ✅ закрытая система |
| `ban-threshold: 5`, `captcha-threshold: 3` | ✅ enabled |
| `MUST_LOGIN=Y` | ✅ enforced (видно в hbbs.log) |
| RustDesk peers версии | 1.4.6 (latest stable) |
| Disk LXC 116 free | 826 MB / 2 GB (55% used) — monitoring |
| RAM LXC 116 used | 105M / 512M — большой запас |
| NPM compose ports 21115-21119 | ✅ exposed после 2026-04-29 update |
## Что осталось сделать (production todo)
### Перед массовым deploy
- [ ] Восстановить Nextcloud (отдельный task)
- [ ] Создать share-link с паролем + expiration после восстановления NC
- [ ] Создать минимум 2 группы в `/_admin/` (например `НИИКН`, `Клиенты-Internal`)
- [ ] Настроить **Configuration Strategy** в админке lejianwen — push настроек существующим клиентам автоматически
- [ ] Off-site бэкап `/root/rustdesk-backups/*.tar.gz` на ArtLeon через rsync over NetBird (cron weekly)
### Полезное (не блокирует prod)
- [ ] `more_set_headers` фикс security headers
- [ ] fail2ban на NPM access logs (поверх rate-limit) — extra слой против distributed brute-force
- [ ] Monitoring: alert на падение rustdesk сервиса (через watchyourlan/zabbix/uptime-kuma)
- [ ] Auto-login клиента в API через service-token (упрощает onboarding)
- [ ] `rustdesk-utils` 2.x для single-file `rustdesk-licensed-*.exe` deployment
### Долгосрочное
- [ ] Через 1-2 месяца — миграция в Docker `lejianwen/rustdesk-server-s6` (Вариант A3)
- [ ] HA-схема на втором экземпляре (НИИКН Proxmox) с общей MySQL
- [ ] MCP-обёртка поверх Swagger API для управления из Claude Code
## Верификация
```bash
# Permissions OK
ssh root@10.0.0.250 "pct exec 116 -- ls -la /var/lib/rustdesk-server/id_ed25519"
# → -rw------- 1 root root 88 Oct 10 2025
# Logrotate OK
ssh root@10.0.0.250 "pct exec 116 -- logrotate -d /etc/logrotate.d/rustdesk"
# → "considering log /var/log/rustdesk-..."
# Auto-backup ran
ssh root@10.0.0.250 "pct exec 116 -- ls -la /root/rustdesk-backups/"
# → rustdesk-20260430.tar.gz
# Rate-limit работает
for i in {1..6}; do
curl -ks -o /dev/null -w "%{http_code} " -X POST https://remot.dttb.ru/api/admin/login \
-H "Content-Type: application/json" -d '{"username":"x","password":"y"}'
done
# → 200 200 200 200 503 503
# Сервер отвечает
curl -ksI https://remot.dttb.ru/_admin/ | head -1
# → HTTP/2 200
```
## Связанные
- [[../projects/dttb/rustdesk-runbook]] — операционный runbook (создан этим audit'ом)
- [[2026-04-28-rustdesk-lejianwen-pro-migration]] — миграция с OSS
- [[2026-04-29-rustdesk-client-deployment-package]] — пакет установки клиентов
- [[../projects/dttb/rustdesk]] — справочник

151
decisions/2026-05-02-apple-id-tj-via-residential-proxy.md
View File

@@ -1,151 +0,0 @@
---
date: 2026-05-02
type: decision
tags: [decision, apple-id, tajikistan, proxy, residential]
---
# 2026-05-02: Apple ID TJ через residential proxy (без VPS, без резидентства)
## Проблема
Нужен Apple ID с регионом **Таджикистан** (для AppStore TJ — там разрешены AmneziaVPN, Happ и другие приложения, заблокированные в RU AppStore).
Прямые пути не работают:
- **TJ-VPS** требуют KYC + резидента (паспорт TJ + ИНН). Все локальные провайдеры (Babilon-T, GlobexCamHost, Navicosoft, Hoster.tj, Serversinasia) отказывают нерезидентам, даже за крипту.
- **Международные хостеры** с TJ-нодой — Evoxt анонсировал, но `/locations` 404; реально TJ-локации почти нет ни у кого крупного.
- **Своя SIM в TJ** — требует физического присутствия (у Олега виза есть, но ехать ради Apple ID не вариант).
## Анализ
Apple проверяет регион по **GeoIP исходящего соединения** в момент регистрации. После создания Apple ID привязан к региону постоянно — IP больше не нужен. То есть VPS избыточен — нужен **TJ-IP на 1 час разово**.
### Сравнение proxy-провайдеров с TJ
| Провайдер | TJ IPs | Типы | Цена | Особенность |
|---|---|---|---|---|
| **IPRoyal** | 285 617 | residential, mobile 4G/3G | mobile от $10/день, residential ~$7/GB | Самый большой пул, надёжный |
| **Litport** | 38 656 | residential, mobile 3G/4G/5G, ISP, datacenter | по запросу | Полный набор, в т.ч. ISP |
| **Soax** | 10 800 | residential, mobile 4G/5G | от $2/GB на больших планах, trial $1.99/400MB/3 дня | Чистые IP, дешёвый trial |
| **BrightData** | премиум | residential, mobile, ISP, datacenter | дорого | Стандарт индустрии |
| **LumiProxy** | н/д | residential, mobile, ISP, datacenter | по запросу | 4G/LTE TJ |
| **Databay** | н/д | mobile 4G/5G | по запросу | Carrier-level targeting |
## Решение
Связка **IPRoyal Royal Residential pay-as-you-go + grizzlysms TJ-номер**.
Soax исключён — сайт плохо работает из RU (ISP DPI / Cloudflare anti-bot), trial не получить без VPN.
IPRoyal стабильно открывается из RU, сайт не блочат, оплата картой/PayPal/криптой.
### Шаги
1. **Купить TJ SMS-номер** на [grizzlysms.com](https://grizzlysms.com) (~$0.43, сервис Apple).
2. **Купить IPRoyal Royal Residential** [iproyal.com](https://iproyal.com) → Pay as you go, минимум **$7 за 1 GB** (хватит на 5+ регистраций):
- Sign Up → Products → Royal Residential Proxies → Pay as you go
- Оплата: Wise/foreign Mastercard / PayPal / **Crypto BTC/ETH/USDT** (крипта без KYC)
3. **Получить базовые credentials** в Dashboard → Royal Residential → Proxy List (host/port/user/pass).
- В UI устанавливать Country/Sticky **не нужно** — параметры передаются через password-модификаторы (см. шаг 4).
4. **Сформировать endpoint с TJ + sticky** через password-модификаторы IPRoyal:
```
host: geo.iproyal.com
port: 12321
user: <BASE_USER>
pass: <BASE_PASS>_country-tj_session-<любая-метка>_lifetime-30m
```
Важно: `country-tj` (lowercase ISO), не `country-Tajikistan` (последнее не работает, возвращает пустоту).
5. **Проверить IP**:
```bash
curl -x "http://USER:PASS_country-tj_session-test01_lifetime-30m@geo.iproyal.com:12321" https://ipinfo.io
```
Подтверждено 2026-05-03: вернулся `185.177.2.130`, Dushanbe, country `TJ`, ASN `AS51346 Tojiktelecom`, timezone `Asia/Dushanbe`. Apple примет такой IP.
6. **Зарегистрировать Apple ID** на [appleid.apple.com](https://appleid.apple.com):
- страна: Tajikistan
- адрес: любой реальный из Душанбе (Google Maps → жилой дом)
- телефон: TJ-номер из шага 1, SMS-код принять в grizzlysms
- **способ оплаты: «Нет / None»** (опция доступна только при регистрации через веб с TJ-IP)
7. **Войти на iPhone** с этим Apple ID. После первой авторизации IP-проверка отпадает — proxy можно отключить.
### Бюджет
~$8 разово (TJ SMS $0.43 + IPRoyal 1 GB $7 + резерв). 1 GB трафика хватает на 5-10 регистраций Apple ID.
## Подводные камни
- **Datacenter proxy не подходит** — Apple использует MaxMind + собственные блок-листы DC ASN. Только residential или mobile.
- **Регистрировать с того же IP, с которого первый раз залогинишься** — иначе риск flagging аккаунта.
- **Не входить с RU-IP в первые 24 часа** — Apple может заблокировать "fraud detection". Использовать NetBird exit-node Finland (Trance group) до первого входа на iPhone.
- **TJ-карту привязывать не нужно** — для бесплатных приложений (AmneziaVPN, Happ, Telegram alts) оплата не требуется. Если потребуется — Wise multi-currency или PayPal.
### TJ-IP сам по себе НЕДОСТАТОЧЕН
Apple палит «русского пользователя» по нескольким сигналам одновременно. Подтверждено 2026-05-03:
- **Accept-Language** — Firefox по умолчанию шлёт `ru-RU`. Apple читает → показывает «Россия» внизу страницы → отказывается слать SMS на TJ-номера. Лечится `about:config` → `intl.accept_languages` = `tg-TJ, tg, en-US, en`.
- **Cookies от прошлых посещений apple.com** — даже на новом профиле могут протекать через sync. Лечится приватным окном (Cmd+Shift+P).
- **WebRTC** — обязательно `media.peerconnection.enabled = false` + `media.peerconnection.ice.default_address_only = true`.
- **Country/Region в форме регистрации** — нужно **вручную выбрать Tajikistan**, Apple по умолчанию ставит US.
- **Footer страницы apple.com** — должно быть «Tajikistan», не «Россия»/«United States». Это критическая проверка ДО заполнения формы.
- **@icloud.com нельзя на этапе регистрации** — Apple даёт его только ПОСЛЕ создания Apple ID, в iCloud settings. Используй внешний email (proton.me лучший выбор).
### SMS-блок Apple
Grizzlysms TJ-pool **полностью забанен** Apple на текущий момент (2026-05-03): любой номер оттуда даёт «Verification codes cannot be sent to this phone number at this time», даже после успешного Country=Tajikistan + footer=Tajikistan. После 2-3 неудачных попыток Apple ставит soft-cooldown 1-2 часа на IP-сессию.
**Альтернативные SMS-сервисы для TJ Apple:**
- **5sim.net** — другой пул, проверять первым
- **sms-activate.io** — большой пул, но Apple часть знает
- **smshub.org** — премиум, реже банят
**Формат корректного TJ-номера:** `+992 9X XXX XXXX` (мобильный, операторы 90/91/92/93/95/98). Префиксы 4X/7X/8X (фиксированные) Apple не принимает.
## Альтернативы (если Soax trial не подойдёт)
- **IPRoyal pay-as-you-go** residential — без trial, но pay-as-you-go от $7/GB.
- **Litport mobile** — настоящие 4G IPs местных операторов TJ (Babilon-Mobile AS204106, TT Mobile AS43197, Tacom/Beeline AS34557).
## Альтернативный путь: покупка US Adidas-аккаунта + смена региона на TJ
Когда самостоятельная регистрация через virtual SMS не идёт (Apple блочит весь grizzlysms TJ-pool), можно купить готовый US Adidas Apple ID за 100-300 ₽ и сменить регион на TJ.
**Когда подходит:** платёжная стратегия "карта на нуле, пополнение перед покупкой" — потеря аккаунта не критична.
**Workflow:**
1. Покупка US Apple ID (массовые "Adidas" аккаунты, без payment method, 2FA через trusted devices, не SMS).
2. Проверка жизнеспособности на appleid.apple.com — не должно быть pending verification.
3. **Очистка следов продавца в правильном порядке:** смена пароля → удаление recovery contacts → удаление recovery key → удаление чужих trusted devices → смена recovery email на свой → перевыбор security questions.
4. **Пауза 24-48 часов** — проверять что продавец не пытается восстановить через forgot password.
5. **Смена региона US → TJ через Firefox с TJ-proxy** — Personal Information → Country/Region → Tajikistan → Payment Method: None.
6. На iPhone: **Настройки → текущий Apple ID → Медиа и покупки → Sign Out** (только App Store, НЕ iCloud) → войти под новым TJ-аккаунтом.
7. Когда появится TJ-карта — привязка через Payment & Shipping (на ненулевом балансе для $1 hold).
**Риски:**
- Продавец сохраняет recovery key/devices/email — может вернуть. Очистка в шаге 3 минимизирует, но не на 100%.
- Apple anti-fraud может flagнуть смену региона US → TJ + TJ residential proxy + новая карта в первый месяц — до бана аккаунта. Поэтому **не привязывать критичную TJ-карту в первый месяц**.
- Adidas-пакеты массовые → Apple периодически их банит за нарушение TOS (создание сериями).
**Когда НЕ подходит:** долгосрочное хранение Apple Cash, привязка карт с большим балансом, использование как primary iCloud (там этот US Apple ID лучше не использовать вообще, только App Store).
## Статус на 2026-05-06
**Прогресс:**
- ✅ IPRoyal Royal Residential куплен (1 GB pay-as-you-go), TJ residential подтверждён рабочим (см. [[../snippets/iproyal-gost-relay]])
- ✅ Локальный gost-relay отлажен (порт 9999 для TJ, 9998 для FI), FoxyProxy multi-port
- ✅ Firefox настроен: `intl.accept_languages = tg-TJ`, WebRTC отключён, приватное окно
- ✅ Apple footer показывает «Tajikistan» при правильной комбинации IP + locale + cookies-чистка
- ✅ US Adidas-аккаунт куплен (`hbuggle819@icloud.com`), 2FA через trusted devices, карта привязана
- ⚠️ **Сложности с virtual SMS** — grizzlysms TJ-pool забанен Apple, требуются альтернативы (5sim, smsbower) или реальная TJ SIM
- ⚠️ **Митинский радиорынок «высох»** (2026-05-04 проверено лично): продажа TJ-SIM мигрантам сократилась после ужесточения ФЗ-178. Альтернативные источники: Avito с доставкой (1500-3500 ₽), Telegram-каналы, знакомые в TJ
- 🔴 **Регион US Adidas пока не менялся на TJ** — ждём реальную TJ-SIM либо premium DID. Аккаунт пока используется только для скачивания приложений.
**Текущий план:**
1. Найти реальную TJ SIM-карту (Avito / Telegram / знакомые)
2. После получения SIM — менять регион Adidas-аккаунта на TJ через TJ-IP (gost), привязка к новой TJ-карте
3. До этого момента — US Adidas-аккаунт используется только в App Store на iPhone для скачивания заблокированных в RU приложений (по схеме [[../snippets/apple-id-us-on-russia]])
**Параллельная находка:** Google гораздо строже Apple к virtual SMS — на TJ-IP при регистрации нового @gmail сразу требует QR-верификацию через trusted device. Web-регистрация Google под TJ через grizzlysms — путь в тупик, требует Android-эмулятор или готовый купленный аккаунт.
## Связанные
- [[../README]] — индекс vault
- TODO в MEMORY был «отложено с 2026-04-23», теперь активирован.
- Решение по `snippets/clients/` для US Apple ID на RU iPhone — структурно тот же подход (proxy + foreign SMS).

136
decisions/2026-05-04-niikn-nspd-via-netbird-lionart.md
View File

@@ -1,136 +0,0 @@
---
date: 2026-05-04
type: decision
status: рабочее
tags: [decision, niikn, mmfb, network, netbird, nspd, fix]
---
# 2026-05-04: NSPD из НИИКН — финальная схема через NetBird → pve-LionART
## Контекст
После отката WG-туннеля 2026-04-20 (общее замедление трафика) NSPD-bypass был на стороне NetBird Networks. Сегодня клиенты НИИКН пожаловались "не работает даже через NetBird и другие сайты тоже".
## Что нашёл
1. **Сетевая часть исправна** — netbird route `nspd-bypass` (2.63.246.0/24) активен, трейс `pve-niikn → 100.70.128.49 (pve-lionart) → 10.253.1.1 (MikroTik LionART)` работает. С `pve-niikn` `curl -k https://nspd.gov.ru/` отдаёт `HTTP:200`.
2. **Цепочка для клиентов разорвана в трёх местах:**
- OpenWrt 192.168.1.50: пропал `dnsmasq override` для `nspd.gov.ru` → podkop ловит в FakeIP `198.18.x.x` → AWG → Финляндия → блок (НСПД режет foreign IP).
- MikroTik 192.168.1.1: нет static route `2.63.246.0/24 → 192.168.1.201` (pve-niikn) → пакеты идут в default WAN → MTS WAF блок.
- pve-niikn: нет SNAT/MASQUERADE для `192.168.1.0/24 → wt0` → пакеты приходили на pve-lionart с приватным src → asymmetric routing.
3. **TLS-сертификат** NSPD выпущен `Russian Trusted Sub CA` (Минцифра, valid from 2026-01-23). Chrome/Edge без ru-trust → `ERR_CERT_AUTHORITY_INVALID`. Yandex Browser работает нативно. Попутный артефакт: `curl` из OpenWrt 24.10 на mbedTLS не парсит ASN.1 этого cert (`X509 - The name tag or value is invalid`) — но это не проблема пользователей.
## Применённый фикс
### 1. OpenWrt (192.168.1.50) — DNS-override
```bash
ssh root@192.168.1.50 # 1qaz!QAZ
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
uci add_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
rm -f /tmp/sing-box/cache.db
/etc/init.d/sing-box restart
```
Проверка: `nslookup nspd.gov.ru 127.0.0.1``2.63.246.x` (НЕ 198.18.x.x).
### 2. MikroTik НИИКН (192.168.1.1) — static route
```
/ip/route/add dst-address=2.63.246.0/24 gateway=192.168.1.201 \
comment="NSPD via NetBird->LionART"
```
### 3. pve-niikn (192.168.1.201 / 100.70.120.229) — SNAT на wt0
```bash
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wt0 \
-m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
```
Persist через systemd unit `/etc/systemd/system/iptables-nspd-restore.service` (idempotent: `iptables -C ... || iptables -A ...`).
## Подтверждение работы
```
# tcpdump на vmbr0 при curl с OpenWrt → nspd.gov.ru:443
192.168.1.50 > 2.63.246.73:443 Flags [S] ← клиент
2.63.246.73:443 > 192.168.1.50 Flags [S.] ← НСПД отвечает!
192.168.1.50 > 2.63.246.73:443 Flags [P.] len 276 ← TLS ClientHello
2.63.246.73:443 > 192.168.1.50 Flags [.] len 1228 ← TLS ServerHello+Cert
... full data flow ...
```
## Что нужно от пользователей
- **Yandex Browser** — открывают `nspd.gov.ru` сразу (встроенно доверяет Минцифре).
- **Chrome/Edge/Firefox** — установить ru-trust сертификаты с https://www.gosuslugi.ru/crt:
- `russian_trusted_root_ca.cer` → Trusted Root Certification Authorities
- `russian_trusted_sub_ca.cer` → Intermediate Certification Authorities
PowerShell от админа (через RustDesk):
```powershell
$tmp=$env:TEMP
iwr https://gu-st.ru/content/Other/doc/russian_trusted_root_ca.cer -OutFile $tmp\r.cer
iwr https://gu-st.ru/content/Other/doc/russian_trusted_sub_ca.cer -OutFile $tmp\s.cer
Import-Certificate -FilePath $tmp\r.cer -CertStoreLocation Cert:\LocalMachine\Root
Import-Certificate -FilePath $tmp\s.cer -CertStoreLocation Cert:\LocalMachine\CA
```
## Распространение на другие гос-сайты
Тот же ru-trust cert у `culture.gov.ru`, `gosuslugi.ru`, `rosreestr.gov.ru` (последний ещё блокирует MTS-IP отдельно — нужен такой же bypass через LionART).
### 2026-05-04 — добавлены zakupki и telemost
Аналогичная схема (без TLS-cert проблем — `zakupki.gov.ru` имеет GlobalSign cert, `telemost.yandex.ru` тоже стандартный).
NetBird Routes API (`POST /api/routes`):
- `zakupki-bypass` → `95.167.245.0/24` (id `d7s61o2fadhs73bjk520`) → peer `cuisnd3l0ubs73bsbbl0` (pve-lionart)
- `telemost-bypass` → `87.250.251.0/24` (id `d7s61oafadhs73bjk750`) → тот же peer
MikroTik НИИКН:
```
/ip/route/add dst-address=95.167.245.0/24 gateway=192.168.1.201 comment="zakupki via NetBird->LionART"
/ip/route/add dst-address=87.250.251.0/24 gateway=192.168.1.201 comment="telemost via NetBird->LionART"
```
pve-niikn — добавлен **MSS clamping** для wt0 (NetBird MTU=1280, br-lan/vmbr0=1500 → большие TCP-ответы дропались):
```bash
iptables -t mangle -A FORWARD -o wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t mangle -A FORWARD -i wt0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
```
Не забыть `iptables-save > /etc/iptables/rules.v4` для persist (или дополнить `iptables-nspd-restore.service`).
Известный артефакт: `lk.zakupki.gov.ru` (`94.25.27.250`) даёт TLS handshake failure даже с LionART — у него mTLS / ГОСТ-крипто-провайдер требуется. Решается локально на клиенте (КриптоПро/JaCarta), не сетевыми средствами.
## Откат
```bash
# pve-niikn
systemctl disable --now iptables-nspd-restore.service
rm /etc/systemd/system/iptables-nspd-restore.service
iptables -t nat -D POSTROUTING -s 192.168.1.0/24 -o wt0 \
-m comment --comment 'nspd-bypass-via-lionart' -j MASQUERADE
# MikroTik НИИКН
/ip/route/remove [find comment="NSPD via NetBird->LionART"]
# OpenWrt
uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/77.88.8.8'
uci -q del_list dhcp.@dnsmasq[0].server='/nspd.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```
## Связанные
- [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](2026-04-20-niikn-nspd-bypass-via-lionart.md) — предыдущая попытка через WG-туннель MikroTik↔MikroTik, откачено
- [projects/niikn/openwrt-bypass.md](../projects/niikn/openwrt-bypass.md) — раздел "Исключение доменов из проксирования"
- [decisions/2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md](2026-04-28-niikn-uookn-sev-gov-fakeip-fix.md) — другие gov-сайты
## Теги
`#niikn` `#mmfb` `#lionart` `#netbird` `#nspd` `#mikrotik` `#openwrt` `#fix`

72
decisions/2026-05-05-mac-dictation-groq-hammerspoon.md
View File

@@ -1,72 +0,0 @@
# 2026-05-05 — Mac dictation: Hammerspoon + Groq Whisper
## Контекст
Олег на Intel MacBook Pro (i9-9880H, 2019), нужна голосовая диктовка для русского. Все современные приложения (superwhisper PRO, VoiceInk, Spokenly Parakeet) либо требуют Apple Silicon, либо платную PRO-лицензию ($150-250). Бесплатный free-tier у superwhisper исчерпан и валидируется на их сервере (см. [feedback_superwhisper_no_license](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)).
## Решение
Свой скрипт + Hammerspoon + Groq Whisper API:
- **Hammerspoon** ловит глобальный hotkey `⌘⇧D`
- **Bash скрипт** toggle-режим: первый запуск → ffmpeg запись с микрофона; второй → стоп → POST в Groq → текст в `/tmp/groq-dictate.last`
- **Lua callback** в Hammerspoon читает файл, кладёт в pasteboard, нажимает Cmd+V через `hs.eventtap.keyStroke`
- **Groq Whisper-large-v3-turbo** — бесплатно ~14400 запросов/день, 0.5с на 4-сек запись, RU IP не блочится
## Файлы
- `~/bin/groq-dictate.sh` — скрипт записи + Groq POST + **fallback на whisper-cpp** + write to `/tmp/groq-dictate.last`
- `~/bin/dictation-doctor.sh` — health-check всех компонентов (Hammerspoon / TCC / зависимости / Groq / mic / Fn-key); запускать когда «не работает»
- `~/.hammerspoon/init.lua` — Fn (одиночное нажатие) trigger через eventtap, paste через `hs.eventtap.keyStroke`
- `~/.cache/whisper-cpp/ggml-tiny-q5_1.bin` — 31MB локальная модель для offline fallback
- Groq API key — в `reference_groq_api.md` private memory
## Финальный hotkey
**Fn (Globe) одиночное нажатие** — toggle (старт/стоп). Срабатывает быстрее ⌘⇧D, освобождает руки. Apple Dictation на двойное Fn остаётся (если не отключить «Нажатие клавиши Fn» в System Settings → Keyboard).
## Критические грабли (и фиксы)
1. **Hammerspoon Accessibility кеширует статус** — после Enable в System Settings нужен **`killall Hammerspoon && open -a Hammerspoon`**, иначе Hammerspoon продолжает показывать WARNING и hotkey не работает.
2. **`hs.hotkey.bind({"cmd","shift"}, "d", ...)`** на русской раскладке выдаёт warning `key 'd' not found in active keymap; using ANSI-standard US keyboard layout as fallback, returning '2'`. Решение: **биндить по числовому keycode**`hs.hotkey.bind({"cmd","shift"}, 2, ...)` (2 = физическая клавиша D). Так работает на любой раскладке.
3. **`osascript -e 'tell application "System Events" to keystroke "v" using command down'`** на русской раскладке вместо Cmd+V вставляет UTF-8 байты текста как символы → получается мусор типа `—В—ь—А—∞—ь—В?` для строки «Ты меня слышишь?». Решение: **никогда не использовать `keystroke` для paste**. Использовать `hs.eventtap.keyStroke({"cmd"}, "v")` напрямую из Lua (отправляет настоящий low-level KeyDown event).
4. **Toggle через PID-файл**`/tmp/groq-dictate.pid`. Если процесс упал/убит — удалить руками. Скрипт устойчив: `kill -INT` корректно закрывает .wav, ждёт до 0.5с дописать заголовок.
5. **ffmpeg avfoundation `:0`** = default mic. Если нужен другой — `ffmpeg -f avfoundation -list_devices true -i ""`.
## Стоимость
- Hammerspoon бесплатный
- Groq бесплатный (14400 req/day, ~120 минут диктовки в день — намного больше нужного)
- Итого: 0₽
## Альтернативы которые НЕ подошли
- **superwhisper** — free tier 530 сек, потом сервер бракует
- **VoiceInk** — официально Apple Silicon only, на Intel CPU крутит большую модель часами
- **Spokenly** — `cdn.spokenly.app` блокирует RU IP (3.8 KB/s), Parakeet требует Neural Engine
- **Wispr Flow** — `dl.wisprflow.com` блокирует RU IP, плюс $144/год Pro для регулярного использования
- **MacWhisper** — $59 lifetime + не пробовали (всё уже работало бесплатно)
- **OpenWhispr** — 273MB dmg в GitHub, не докачался
## Связано
- [RU-заблокированные сервисы](../notes/ru-geoblocked-services.md)
- [Groq API](../../.claude/projects/-Users-ai-knowledge-base/memory/reference_groq_api.md)
- [Superwhisper — нет PRO](../../.claude/projects/-Users-ai-knowledge-base/memory/feedback_superwhisper_no_license.md)
## Воспроизведение на новом Mac
```bash
brew install --cask hammerspoon
brew install whisper-cpp jq ffmpeg
mkdir -p ~/bin ~/.hammerspoon ~/.cache/whisper-cpp
# скопировать ~/bin/groq-dictate.sh + ~/bin/dictation-doctor.sh → chmod +x
# скопировать ~/.hammerspoon/init.lua
# скачать локальную fallback-модель (31 MB, GitHub не блочит RU)
curl -sSL -o ~/.cache/whisper-cpp/ggml-tiny-q5_1.bin \
"https://huggingface.co/ggerganov/whisper.cpp/resolve/main/ggml-tiny-q5_1.bin?download=true"
open -a Hammerspoon
# Hammerspoon Preferences → Enable Accessibility → System Settings → включить
killall Hammerspoon && open -a Hammerspoon # ОБЯЗАТЕЛЬНО после grant — кеш
# System Settings → Клавиатура → Нажатие клавиши Fn → "Действие не требуется"
~/bin/dictation-doctor.sh # должно быть всё зелёное
```
Готово. **Fn → говори → Fn** — текст вставится в активное окно.

101
decisions/2026-05-06-kb-search-overhaul.md
View File

@@ -1,101 +0,0 @@
---
date: 2026-05-06
type: decision
tags: [kb, openclaw, search, fts, infra, summary]
status: applied
---
# Перестройка KB-поиска и синхронизации (8 фаз за один день)
## Что было до
Запрос «OpenWRT Липки» Максимке возвращал `netbird-inventory.md`, потому что:
- слова «Липки» во всём vault'е была одна строка в табличке инвентаря,
- слово «OpenWRT» статистически перевешивали НИИКН-документы (`govru-quickfix`, `niikn-openwrt-awg-fix`),
- кросс-ссылок и aliases не было, embeddings не было,
- лаг push→бот доходил до 16 минут (cron `*/5` Mac→Gitea + cron `*/15` Gitea→openclaw).
Пользователь жаловался: «бот путает, я ему про Липки, он мне про НИИКН».
## Что сделано
| Фаза | Эффект |
|---|---|
| 1. Embeddings (ollama+bge-m3) | ⛔ откачено — openclaw 2026.5.2 при `provider: ollama` шлёт inputs целиком, ollama тратит >5 мин/запрос, undici fetch валится по headers timeout. ollama на LXC 132 готова (uptime, bge-m3 1024d), но сторона openclaw нуждается в фиксе chunking |
| 2. Webhook + auto-reindex | Gitea push→listener (HMAC SHA-256)→`kb-pull.sh``openclaw memory index`. **push→FTS: 15 мин → 50 c**. См. [[../snippets/openclaw-kb-webhook]] и [[2026-05-06-openclaw-kb-webhook-deployment]] |
| 3. objects-map.json + _index.md | Скрипт `scripts/kb-objects-map.py` парсит netbird-inventory + frontmatter и пишет JSON для бота + human-readable [[../projects/_index]]. Базовый структурный слой |
| 4. Stubs + frontmatter | Создано 6 README (`znamenskoye`, `mmfb`, `lipki` уже был, + 4 stub'а клиентских OpenWrt). Обогащён frontmatter в `niikn`, `dttb`, `glavtorg`, `krasnogorsk`, `zelenograd` с aliases для netbird-имён. **38 → 14 orphan-пиров** |
| 5.1. Слить дубли видео | Удалён `dttb/video-surveillance-report.md` (297 строк, неполная копия), canonical `videonablyudenie-znam.md` обогащён aliases |
| 5.2. Архив audit/ | 18 устаревших drift-отчётов 2026-04-* перенесены в `audit/archive/`, в active остались 7 свежих |
| 6. Recall + dreaming | `openclaw memory promote --apply`: 17/39 коротких воспоминаний переехали в долгую. `dreaming.enabled=true` (cron `0 3 * * *`). Weekly cron на promote |
| 7. Расширенный kb-audit | Скрипт `scripts/kb-objects-audit.py` пишет еженедельный отчёт с score: проверяет frontmatter, online-orphans, битые wiki-ссылки. Первый запуск — score=84 (12/12 frontmatter ✓, 3 online orphan, 26 битых wiki) |
| 8. UX бота | `memorySearch.query.minScore=0.4`, IDENTITY.md разводит двух Максимок (homelab vs НИИКН), INFRASTRUCTURE.md переписан как навигатор по vault'у |
## Метрики до / после
| Параметр | До | После |
|---|---|---|
| «OpenWRT Липки» top-1 | `netbird-inventory.md` ❌ | `projects/lipki/README.md` ✅ |
| «Антон клиент Звенигород» top-1 | ничего | `projects/lipki/README.md` ✅ |
| «AgentDVR ЧОП Знаменское» top-1 | три дубля | `videonablyudenie-znam.md` ✅ |
| «Константин Вишневый сад» top-1 | `netbird-inventory.md` | `projects/vishnevyy-sad/README.md` ✅ |
| Лаг push → видно боту | 516 мин | **~50 секунд** |
| Проектов с netbird-привязкой | 0 | **9** |
| Структурный объект-граф | нет | `objects-map.json` (34 entries) |
| Online orphan-пиров | ~30+ | **3** |
| Auto-reindex после pull | нет | есть |
| Recall promoted | 0 (mёртв 16 дней) | 17 + weekly cron |
| Dreaming | off | on (ночной cron) |
| FTS-шум audit/ | 24 файла | 7 active + 18 в archive |
## Грабли (для будущей памяти)
1. **Gitea SSRF-protection.** Без `webhook.ALLOWED_HOST_LIST` в `app.ini` Gitea silently отказывает доставлять webhook на private IP. В docker-логах: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом получает 0 запросов, journal пустой.
2. **`flock -n` теряет двойные push.** Если webhook прилетел во время pull/reindex — non-blocking lock молча выходит. Заменить на `flock -w 180`.
3. **openclaw 2026.5.2 ollama-провайдер игнорирует chunking.** При `provider: ollama` шлёт файлы целиком в `/api/embed`, ollama buffer растёт до 700 MB, обработка >5 мин, fetch валится. Не лечится `chunking.tokens=512`, `nonBatchConcurrency=1`, `batch.enabled=false`. Bug либо в openclaw, либо неочевидный конфиг-флаг.
4. **substring matching → false positives.** Alias `cloud` подхватывал `Cloud-NIIKN New niikn.com`. Перешли на exact-match с нормализацией `ye→e`. Aliases теперь должны содержать **полные** имена пиров как в netbird-inventory.
5. **Heredoc через ssh с backticks** — bash интерпретирует backticks как command-substitution внутри пути файла. Для записи структурных markdown'ов с inline-кодом — пушить через base64 или scp/pct push, не heredoc.
6. **`git commit` без `-a` или явного `git add`** забирает только staged. Удаление через `git rm` помечается автоматом, а modify — нет. Один коммит может оставить часть правок несинхронизированными — дополнительный коммит лечит.
## Что отложено
| Задача | Причина | Когда возвращаться |
|---|---|---|
| Векторный поиск через ollama | bug в openclaw 2026.5.2 ollama-провайдере | при апгрейде openclaw, или попробовать `provider: local` (transformers.js встроен в openclaw) |
| 14 orphan-пиров (Денис Тихая, DESKTOP-2IOQS54 Saransk, KOMPUTER, MastaNotebook, …) | нужны факты от Олега чьи это машины | по мере выяснения — добавлять в aliases подходящих проектов |
| 26 битых wiki-ссылок | автоматический фикс не всегда возможен (некоторые цели реально удалены) | semi-auto проход: показать список, для очевидных — починить, остальное — оставить TODO |
| Singleton-проекты (`projects/*.md`) без frontmatter | не критично — они top-level note'ы | при касании |
## Артефакты в vault
- [[../projects/lipki/README]], [[../projects/znamenskoye/README]], [[../projects/mmfb/README]]
- [[../projects/sergey/README]], [[../projects/benilux/README]], [[../projects/vishnevyy-sad/README]], [[../projects/openwrt-4/README]]
- [[../projects/_index]] — авто-генерированный реестр
- `audit/objects-map.json` — машинно-читаемый граф
- [[../audit/2026-05-06-objects-audit]] — первый health-check
- `scripts/kb-objects-map.py`, `scripts/kb-objects-audit.py`
- [[../snippets/openclaw-kb-webhook]]
- [[2026-05-06-openclaw-kb-webhook-deployment]]
- frontmatter добавлен в `projects/{niikn,dttb,glavtorg,krasnogorsk,zelenograd}/README.md`
## Артефакты вне vault
**LXC 137 (openclaw):**
- `/usr/local/bin/kb-pull-webhook.py` (Python listener, HMAC)
- `/etc/systemd/system/kb-pull-webhook.service`
- Обновлённый `/usr/local/bin/kb-pull.sh` (`flock -w 180`, hash-diff, auto-reindex)
- Cron `0 4 * * 1` weekly memory promote
- Config: `memorySearch.query.minScore=0.4`, `dreaming.enabled=true`, ollama-провайдер откачен (бэкап `/root/.openclaw/openclaw.json.bak.embed-2026-05-06-112441`)
- Переписаны `/root/clawd/IDENTITY.md`, `INFRASTRUCTURE.md`
**LXC 136 (Gitea):**
- `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `/opt/gitea/data/gitea/conf/app.ini`
- Webhook id=1 на репо `oleg/knowledge-base`
**LXC 132 (code-server):**
- ollama systemd override `OLLAMA_HOST=0.0.0.0:11434, KEEP_ALIVE=24h` (для будущего возврата к embeddings)

78
decisions/2026-05-06-openclaw-kb-webhook-deployment.md
View File

@@ -1,78 +0,0 @@
---
date: 2026-05-06
type: decision
tags: [openclaw, gitea, webhook, kb-sync, performance]
status: applied
---
# Webhook Gitea → openclaw kb-pull (Фаза 2 плана улучшения KB-поиска)
## Контекст
После публикации `projects/lipki/README.md` стало видно, что openclaw (Максимка) видит новые правки vault только через cron `*/15` — лаг до 15 минут. Это первое, что бьёт по UX («только что записал → бот всё ещё не знает»).
План улучшения KB-поиска расписан в чате с Claude Code 2026-05-06 утром, Фаза 2 — webhook + автоматический FTS-реиндекс.
## Решение
Push-канал Gitea → listener на LXC 137 → `kb-pull.sh``openclaw memory index`. Cron `*/15` оставлен как safety net.
Подробная реализация — [[../snippets/openclaw-kb-webhook]].
## Что развёрнуто
| Компонент | Где |
|---|---|
| `/usr/local/bin/kb-pull-webhook.py` | LXC 137, Python http.server, HMAC-SHA256 проверка, journal-лог |
| `/etc/systemd/system/kb-pull-webhook.service` | LXC 137, system unit, Restart=on-failure, secret в env |
| Обновлённый `/usr/local/bin/kb-pull.sh` | `flock -w 180`, hash-diff, авто `openclaw memory index` при новом HEAD |
| Webhook в Gitea (id=1, репо `oleg/knowledge-base`) | events: push, branch: main, secret в HMAC |
| `webhook.ALLOWED_HOST_LIST = 10.0.0.0/24,*.dttb.ru,private` в `app.ini` | LXC 136 (Gitea в docker), `/opt/gitea/data/gitea/conf/app.ini` |
## Метрика
End-to-end push → видно боту:
| Этап | Время |
|---|---|
| `git push` с Mac → Gitea ack | ~2 c |
| Gitea → webhook listener | ~3 c |
| listener → kb-pull.sh → git pull → новый HEAD | ~6 c |
| **Итого до видимости HEAD на 137** | **~11 c** |
| FTS reindex (875 файлов / 1791 chunk) | +38 c |
| **Итого до видимости в `openclaw memory search`** | **~50 c** |
Было: до 15 минут (cron */15) + до 38 c reindex (если бы он раньше был) = до **~16 минут**.
Улучшение: **×20 латентности до видимости HEAD, ×16 до полного FTS**.
## Грабли (для будущей памяти)
1. **Gitea SSRF-protection.** Без `ALLOWED_HOST_LIST` Gitea silently отказывает доставлять webhook на private IP. Test delivery возвращает `204`, но в Gitea log: `webhook can only call allowed HTTP servers, deny '10.0.0.239'`. Listener при этом не видит ничего — пустой journal. Это была первая причина почему ничего не работало.
2. **`flock -n` теряет вторую серию push'ов.** Если webhook прилетел во время уже идущего pull/reindex (быстрый двойной push) — non-blocking flock молча выходит. Надо `-w 180` (ждать в очереди до 3 мин).
3. **sed по строке с `||` ломается, если разделитель `|`.** `sed -i 's|flock -n|flock -w 180|'` падает с `unknown option to s`. Использовать `#` или другой разделитель — `sed -i 's#flock -n#flock -w 180#'`.
4. **Listener `log_message: pass` гасит **все** логи http.server.** Если хочется видеть приём POST — переопределить как `sys.stderr.write(...)`. Иначе debug невозможен.
## Альтернативы, которые отвергнуты
- **Полностью убрать cron**: рискованно — если listener умер и не заметили, vault зависнет. Cron `*/15` ничего не стоит и страхует.
- **Webhook напрямую через NPM/публичный URL**: лишний хоп, нужен HTTPS, всё в LAN — не нужно.
- **iptables на 18790**: HMAC-secret уже отсекает левые запросы. Homelab trusted. Не делал.
## Откат
См. секцию «Откат» в [[../snippets/openclaw-kb-webhook]]. Один rm-рецепт + удаление webhook через Gitea API.
## Что дальше
Фаза 1 плана (embeddings ollama × bge-m3) — пока **отложена**. При попытке развёртывания openclaw 2026.5.2 со всеми правильными config-полями (`provider=ollama`, `remote.baseUrl`, `model=bge-m3`, `chunking.tokens=512`) **игнорирует chunking** и шлёт в `/api/embed` файлы целиком — output buffer ollama растёт до 700+ MB, обработка >5 мин, undici fetch падает по дефолтному 5-min Headers Timeout. Конфигурация откачена, состояние FTS-only сохранено.
Возможные пути возврата к векторному поиску:
- `provider: local` (transformers.js встроенный) — попробовать без сетевого хопа
- Ждать openclaw 2026.5.3+ с фиксом chunking
- GitHub Copilot embeddings (требует токен)
Следующая фаза по плану — **Фаза 3** (`audit/objects-map.json` + `projects/_index.md`) или **Фаза 5.1** (слить дубли видеонаблюдения).

119
decisions/2026-05-06-openclaw-opus-4-7-via-max-cliproxy.md
View File

@@ -1,119 +0,0 @@
---
date: 2026-05-06
type: decision
tags: [decision, openclaw, omniroute, claude, opus, cliproxy, max-plan]
---
# 2026-05-06: openclaw перешёл на Claude Opus 4.7 через Max-подписку (cc/* в OmniRoute)
## Контекст
Искали стабильный источник Claude Opus 4.6/4.7 для openclaw — обсуждали построение Workspace-фарма на новом домене с пулом аккаунтов под Antigravity. Перед тем как затевать фарм ($12/домен + время на регистрации + риск массового бана), проверили что фактически работает в текущей OmniRoute.
## Что обнаружили в OmniRoute (10.0.0.179:20128)
В каталоге **17 моделей с opus в id**, но реально пингуются только три:
| Model ID | Источник | Статус |
|---|---|---|
| **`cc/claude-opus-4-7`** | Claude Code OAuth (Max-подписка Олега) | ✅ Работает |
| `cc/claude-opus-4-6` | то же | ✅ Работает |
| `claude/claude-opus-4-7` | прямой Anthropic API | ✅ Работает (платный per-token) |
| `gh/claude-opus-4.6` | GitHub Copilot integrator MS | ❌ MS убрала Opus 4.6 из integrator scope, отдаёт «model not available» |
| `gh/claude-opus-4.7` | то же | ❌ ID mismatch: OmniRoute шлёт `4.7`, MS ждёт `4-7` (баг mapping в текущей версии) |
| `kr/claude-opus-4.6` / `4.7` | Kiro/AWS | ❌ Kiro Opus не выдаёт, только Sonnet |
| `kiro/claude-opus-*` | то же | ❌ |
| `kc/anthropic/claude-opus-4.7` | KiloCode | ❌ Empty response |
| `kilocode/anthropic/claude-opus-4.7` | то же | ❌ |
| `antigravity/claude-opus-4-6-thinking` | Google Antigravity | ❌ «Missing Google projectId — reconnect OAuth in Providers → Antigravity» |
## Решение
**Workspace-фарм для Antigravity не нужен.** У Олега уже есть рабочий Opus 4.7 через **`cc/claude-opus-4-7`** — это его собственная Max-подписка Anthropic, проксированная через CLIProxy в OmniRoute. Лучше любого фарма потому что:
- Нет per-token биллинга, фиксированная стоимость Max ($200/мес за Max20x)
- Не нужны множественные аккаунты, recovery emails, virtual cards
- Один источник = один ключ = простая интеграция
- Нет риска массового бана как у фарм-аккаунтов
- Самая свежая модель Opus 4.7 (новее чем 4.6 которая в фармовых Antigravity)
### Изменения в `/root/.openclaw/openclaw.json` (LXC 137)
**Было:**
```json
"agents.defaults.model": {
"primary": "omniroute/kr/claude-sonnet-4.5",
"fallbacks": [
"omniroute/cc/claude-sonnet-4-6",
"omniroute/cx/gpt-5.4"
]
}
```
**Стало:**
```json
"agents.defaults.model": {
"primary": "omniroute/cc/claude-opus-4-7",
"fallbacks": [
"omniroute/cc/claude-sonnet-4-6",
"omniroute/kr/claude-sonnet-4.5",
"omniroute/cx/gpt-5.4"
]
}
```
Также добавлена запись в `models.providers.omniroute.models[]`:
```json
{
"id": "cc/claude-opus-4-7",
"name": "Claude Opus 4.7 (CLIProxy/Max)",
"reasoning": false,
"input": ["text", "image"],
"contextWindow": 200000,
"maxTokens": 8192
}
```
Без этой записи openclaw fallback'нет на следующий — модель должна быть в каталоге провайдера.
### Применение
OpenClaw подхватил изменения **через hot-reload без рестарта** (видно в журнале: `[reload] config hot reload applied`). После я ещё раз сделал `systemctl --user restart openclaw-gateway.service` для чистоты, но это было необязательно.
В логах после старта:
```
[gateway] agent model: omniroute/cc/claude-opus-4-7
[gateway] http server listening (7 plugins: ..., telegram; 8.6s)
[telegram] [default] starting provider (@maxim_dttb_bot)
[gateway] ready
```
## Бэкап и rollback
Автобэкап перед изменениями: `/root/.openclaw/openclaw.json.bak.opus47-20260506-090832`
Rollback одной командой:
```bash
sshpass -p '1qaz!QAZ' ssh root@10.0.0.250 "pct exec 137 -- bash -c '
cp /root/.openclaw/openclaw.json.bak.opus47-20260506-090832 /root/.openclaw/openclaw.json
XDG_RUNTIME_DIR=/run/user/0 systemctl --user restart openclaw-gateway.service
'"
```
## Известные риски и мониторинг
1. **Max-подписка fair-use лимиты** — Anthropic размывает по нагрузке, точных цифр нет. Когда упрёмся — openclaw сам перейдёт на `cc/claude-sonnet-4-6` (видно в логах `model fallback decision`).
2. **CLIProxy OAuth refresh** — может протухнуть. Мониторинг: `journalctl --user -u openclaw-gateway -f` на LXC 137. При ошибке 401 от Anthropic API → переподключить Claude Code OAuth в OmniRoute (Dashboard → Providers → Claude → Reconnect).
3. **Скорость** — Opus 4.7 в среднем 2-5 сек медленнее Sonnet 4.5. Для интерактива в Telegram это норма.
## Параллельные находки
- **Antigravity** требует OAuth re-connect. По заметке `feedback_antigravity_onboarding.md`: открыть [antigravity.google](https://antigravity.google), залогиниться, создать Cloud Code project → projectId подтянется → `antigravity/claude-opus-4-6-thinking` оживёт. Сейчас не критично.
- **`Unknown model: cx/gpt-5.4`** — каждые 30 минут в логах ошибка. Health-check тыкается в модель которой нет в каталоге `omniroute.models[]` openclaw. Не блокер — failover работает. Решение: либо добавить `cx/gpt-5.4` в каталог openclaw, либо убрать из health-check'ов.
## Связанные
- [[../claude-memory/omniroute]] — OmniRoute setup, провайдеры, версии
- [[../projects/dttb/openclaw]] — справочник по openclaw
- [[../snippets/clawdbot-cliproxy-config]] — старый шаблон CLIProxy
- [[../snippets/omniroute-models-audit]] — шаблон smoke-тестов и парсинга ошибок (использовался при этом аудите)

90
decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash.md
View File

@@ -1,90 +0,0 @@
---
date: 2026-05-07
type: decision
tags: [buzharovo, server1c, 1c, troubleshooting]
---
# Бужарово 1С сервер — rmngr-loop после грязного ребута: рецепт
## Контекст
07.05.2026 утром локальные пользователи в Бужарово начали жаловаться на резкое замедление 1С. NetBird и удалённый доступ ни при чём — тормозило в локальной сети офиса.
Сервер: `Server1C` (Win 2012 R2, 100.70.75.103 / 185.13.47.2), 1С 8.3.27.1606, MSSQL.
## Что нашли
Сегодня в **09:05 сервер ушёл в crash**:
- `System / Kernel-Power Event 41` (Critical): "rebooted without cleanly shutting down — system stopped responding, crashed, or lost power"
- `System / EventLog 6008`: "previous shutdown was unexpected"
После загрузки:
- `rmngr.exe` (менеджер кластера 1С) держит **~1.7 ядра постоянно** в idle (норма <2% одного ядра).
- `rphost`, `sqlservr`, диски (avg sec/write 1.6 ms, queue 0.03), память (5/64 GB) — **в норме**.
- `rac.exe localhost:1540 cluster list` → "ошибка соединения с сервером", exit -1 — **admin-канал rmngr повис**, кластером невозможно управлять извне.
- `netbird.exe` параллельно жжёт 1.4 ядра — побочный reconnect-loop после crash, после ребута сам успокоился.
## Что не помогло
**Полный ребут сервера** (через `Restart-Computer`) — НЕ решает проблему. На свежезагруженном сервере с uptime=37 секунд rmngr опять на 178% одного ядра. То есть проблема воспроизводится при каждом первом запуске агента после crash.
## Что помогло
```powershell
Restart-Service -Name '1C:Enterprise 8.3 Server Agent (x86-64)' -Force
```
После рестарта службы (не сервера!):
| Процесс | До рестарта | После рестарта |
|---|---|---|
| rmngr | 178% ядра | 3% ядра |
| rphost | 19% | 1% |
| ragent | 0% | 1% |
Все клиенты в этот момент вылетают — нужно предупредить за 2-3 минуты. Перезаход штатный.
## Побочный эффект
После рестарта остался орфан-процесс старого `ragent` от прошлого запуска (не слушает 1540, висит в памяти). Можно безопасно прибить:
```powershell
Get-Process ragent | Where-Object { $_.Id -ne (Get-NetTCPConnection -LocalPort 1540).OwningProcess } | Stop-Process -Force
```
## Корневая причина — открыта
Почему `rmngr` зацикливается после первого запуска ragent — точно не выяснено. Гипотезы:
1. Повреждённый кэш кластера `C:\Program Files\1cv8\srvinfo\reg_*\` после crash.
2. Регресс в 8.3.27.1606 при восстановлении сеансов.
3. Disabled-служба `RagentServer_8327` (старый дубликат) что-то мешает в реестре при первом старте.
Если повторится — смотреть `C:\Program Files\1cv8\srvinfo\reg_*\1Cv8FTLog\` и `1Cv8Log` на ошибки.
## Что сделать долгосрочно
В кластере 1С сейчас **один rphost на всех локальных пользователей** — бутылочное горлышко. Через консоль администрирования сервера 1С увеличить количество рабочих процессов: 1 rphost на 8-12 сеансов. Это отдельная задача, не на горячую.
## Команды диагностики (для повтора)
WinRM-сессия с Mac:
```python
import winrm
s = winrm.Session('http://100.70.75.103:5985/wsman',
auth=('dttb','1qaz!QAZ'),
transport='basic')
```
Дельта CPU за 5 сек по процессам:
```powershell
$names='rmngr','rphost','netbird','sqlservr','ragent'
$first=@{}; $last=@{}
Get-Process | ?{$names -contains $_.Name} | %{ $first[$_.Name]=$_.CPU }
Start-Sleep 5
Get-Process | ?{$names -contains $_.Name} | %{ $last[$_.Name]=$_.CPU }
foreach($n in $names){ "$n delta=$($last[$n]-$first[$n])s" }
```
Если у rmngr дельта >50 за 5 секунд — диагноз "rmngr-loop" подтверждён, делать рестарт службы.
См. также [[projects/buzharovo/server1c]].

75
decisions/2026-05-08-buzharovo-sql-native-backup.md
View File

@@ -1,75 +0,0 @@
---
date: 2026-05-08
type: decision
tags: [decision, buzharovo, 1c, backup, mssql, effector-saver]
---
# 2026-05-08: Бэкап Бужарово 1С — переход с Effector Saver DT на native MS SQL Backup
## Контекст
Вечером 2026-05-08, после починки rmngr-loop, регулярная задача `Бэкап 1Cv8` в Effector Saver Free 4.8/2 на `server1c.netbird.cloud` (Win 2012 R2, MSSQL 2012 SP4, 1С 8.3.27.1606) **отказывалась завершаться успешно**. Шесть подряд запусков (19:51 → 22:21) падали с одной и той же связкой ошибок:
1. `HRESULT=800401F3``V83.ComConnector` не зарегистрирован → Olег зарегистрировал через UI Effector Saver, переключился на 64-bit
2. `HRESULT=80004005` — "Администратор кластера не аутентифицирован" — у кластера 1С есть проверка авторизации, но **в кластере нет ни одного admin'а**, а добавить нельзя:
- В Серверной консоли 1С: `Локальный кластер → Администраторы` показывает количество=0, форма "Новый администратор" заполнена, но при OK **просит логин/пароль и не принимает agent-уровневый admin** (создан Olегом отдельно)
- Через COM `V83.COMConnector`: `AuthenticateAgent('admin', '1qaz!QAZ')` проходит, но `RegClusterAdmin` падает "пользователь не выполнил аутентификацию для требуемой операции" (chicken-and-egg: для создания первого cluster admin нужен уже cluster admin)
- Через `rac` с `--agent-user`: cluster operations не принимают agent-уровневую аутентификацию (design choice 1С)
3. `Ошибка исключительной блокировки информационной базы` — даже без cluster admin'а Effector Saver продолжает выгрузку, но не может получить эксклюзив, потому что в БД активные сессии. Особенно "вечная" сессия `КулябинПИ sid=4514, начат 12:55:42` — после моего рестарта службы 1С в 19:30 и последующих SQL `KILL` сессий, она **раз за разом возвращается** (вероятно, реально открытый где-то тонкий клиент Павла Ивановича + persistent state в `1CV8Clst.lst`).
## Что пробовали и почему не сработало
| Попытка | Результат |
|---|---|
| `regsvr32` x64 `comcntr.dll` | ✅ COM зарегистрирован, переключение Effector Saver на 64-bit убрало `800401F3` |
| `Restart-Service '1C:Enterprise 8.3 Server Agent'` | ✅ rmngr вылечен, но session 4514 в реестре кластера **persists** между рестартами |
| `KILL` SQL-сессий через `sa/Qwer1122334400` | ✅ временно (sess=0, locks=0), но 1С rphost восстанавливает соединения за 1-2 мин и сессия 4514 reanimates |
| `rac cluster admin register` без auth | ❌ "оператор не существует" |
| `RegClusterAdmin` через COM с `AuthenticateAgent` | ❌ "пользователь не аутентифицирован для требуемой операции" |
| GUI Серверной консоли 1С — добавить cluster admin | ❌ форма не сохраняет, требует cluster auth (которой нет) |
Тупик: **в кластере БД 1С нет cluster admin'а, и зарегистрировать первого нельзя ни через GUI, ни через rac, ни через COM.** Возможный единственный путь — обнулить `srvinfo\reg_1541\1CV8Clst.lst` целиком (потеря и админов, и регистрации ИБ — нужна перерегистрация ИБ с SQL params; рискованно).
## Решение: native MS SQL Backup
Effector Saver делает **DT-выгрузку через 1С Конфигуратор** (`1cv8.exe DESIGNER /DumpIB`), которая требует эксклюзив на ИБ. Это исторический способ для **файловых** ИБ. Для **клиент-серверных** ИБ на MS SQL правильный путь — **`BACKUP DATABASE` на уровне SQL Server**:
-**Online backup** — снимает копию во время работы, не требует эксклюзива
-Не зависит от 1С-кластера, cluster admin'а, активных сессий
-С `WITH COMPRESSION` файл сжимается ~3:1 (3.8 GB → 1.1 GB)
- ✅ Быстрее — у нас 2 секунды на 3.8 GB БД
- ✅ Восстанавливается одним запросом `RESTORE DATABASE`
Реализация:
```sql
BACKUP DATABASE [RitmUl]
TO DISK = N'C:\backup\RitmUl_<ts>.bak'
WITH FORMAT, INIT, NAME = N'RitmUl-Full',
SKIP, NOREWIND, NOUNLOAD, COMPRESSION, COPY_ONLY,
STATS = 5
```
`COPY_ONLY` — чтобы наш бэкап не ломал log chain если потом настроят differential/log backups.
Запускается через WinRM `python3 + System.Data.SqlClient` с LXC 139 `severny-les` (бот). Storage: `C:\backup\` на server1c (374 GB свободно).
## Артефакт
- **Первый успешный бэкап 2026-05-08:** `C:\backup\RitmUl_2026-05-08_2225.bak` (1105 MB)
- **Скрипт:** `/root/clawd/scripts/sql_native_backup.py` на LXC 139
## TODO (после возвращения Olега из Египта)
1. **Автоматизировать** — добавить cron на LXC 139 `severny-les`: каждый день в 03:00 МСК запускать `sql_native_backup.py`, ротировать (хранить N дней). Алерт в Telegram-группу при сбое.
2. **Ротация и трансфер** — настроить копирование `.bak` файлов на внешний носитель (Nextcloud / S3 / Gitea-LFS).
3. **Тест восстановления** — раз в N дней автоматически развернуть бэкап в тестовую БД и проверить целостность.
4. **Effector Saver** оставить как есть, не чинить (чинить cluster admin = разбирать `1CV8Clst.lst` бинарник, риск убить ИБ). Можно отключить регулярную задачу `Бэкап 1Cv8` в Effector Saver чтобы не плодились алерты "ошибка".
5. **TODO документировать** SQL creds в `projects/dttb/credentials.md` (см. блок Бужарово).
## Связанные
- [[projects/buzharovo/server1c]] — обновлён с SQL backup как новый канон
- [[projects/buzharovo/severny-les-bot]] — бот теперь умеет бэкапить через WinRM+SQL
- [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]] — про rmngr (отдельная история, починена)

77
decisions/2026-05-08-severny-les-bot-buzharovo.md
View File

@@ -1,77 +0,0 @@
---
date: 2026-05-08
type: decision
tags: [decision, buzharovo, bot, openclaw, watchdog, telegram]
---
# 2026-05-08: Северный лес — отдельный AI-ассистент + watchdog для server1c (Бужарово)
## Контекст
Олег уезжает в отпуск в Египет 2026-05-09 → 2026-05-22. На server1c (Бужарово, VDS 185.13.47.2 / NetBird 100.70.75.103) недавно (2026-05-07) был rmngr-loop, который лечится только `Restart-Service '1C:Enterprise 8.3 Server Agent (x86-64)' -Force` — ребут не помогает (см. [[decisions/2026-05-07-buzharovo-1c-rmngr-loop-after-crash]]).
Пока Олег в отпуске, нужно:
1. Чтобы кто-то узнавал когда сервер упал (Telegram-группа руководящего состава Северного леса);
2. Чтобы можно было дёрнуть восстановительное действие (`/approve restart_1c`) не дожидаясь возвращения Олега из Египта.
Через ~2 недели (после Египта) планируется миграция server1c с VDS на собственный сервер. Бот должен работать **до и после** миграции — поэтому он не на самом server1c, а на dttb-Proxmox через NetBird.
## Развилка: clawdbot vs openclaw vs другой watchdog
Рассматривались три варианта:
| Вариант | Плюсы | Минусы |
|---|---|---|
| **clawdbot** (как у [[projects/niikn/clawdbot-niikn|Максимки-Мауля]]) | Проверенный рецепт, проще | Старый стек, не обновляется. exec-approvals самописные. |
| **openclaw** (свежий стек 137) | Встроенный `exec-approvals.json` whitelist для shell-команд. Plugins, skills, делегирование на Opus 4.7 через Max. Свежий, активная разработка. | Жёсткая schema, есть тонкости (bonjour, IPv6, FakeIP DNS) — но они уже разобраны на 137. |
| **Голый watchdog без AI** | Минимум зависимостей. | Нет диагностики "почему упало". Невозможно дёрнуть `/restart_1c` через `/approve` — только ручной WinRM. |
**Решение:** **openclaw** — встроенный whitelist для shell-команд (`exec-approvals.json`) — это прямо то что нужно для `/approve` flow. Плюс Опус 4.7 через Max.
## Архитектура
**Изоляция от Максимки (LXC 137):** не подвешиваем как доп.канал на 137 — если openclaw на 137 упадёт (а это бывает: bonjour, FakeIP, Kiro 402), упадут и алерты Бужарово. Для критичной мониторинг-задачи нужен **отдельный** инстанс.
**Хост:** новый LXC 139 на dttb (10.0.0.240, NetBird 100.70.212.78, Ubuntu 24.04, 2c/4GB/10GB).
**Два слоя независимых:**
1. **buzharovo-watchdog** — bash + curl→TG bot API напрямую, systemd timer 60s. **Не зависит от openclaw.** Если AI-часть упала, алерт всё равно дойдёт.
2. **openclaw 2026.5.7** — AI-помощник для диагностики и `/approve`-action'ов через WinRM.
**Алерт-уровни:**
- `OK` — всё доступно;
- `WARNING` — часть проверок упала;
- `WARNING_NETBIRD` — NetBird до server1c лежит, публично сервер виден;
- `CRITICAL` — сервер не отвечает ни публично, ни через NetBird.
Антиспам: алерт шлётся **только при смене уровня**, состояние в `/var/lib/severny-les/state.json`.
**WinRM-actions с подтверждением:**
- read-only без approval (`/status`, `/check_1c`, `/check_rmngr`);
- destructive с обязательным `/approve` от Олега `1292155421` (`/restart_1c`, `/kill_orphan_ragent`);
- ребута сервера НЕ даём (по опыту 2026-05-07 не помогает rmngr-loop).
## Превентивные правки на старте (уроки 137)
Все три "ловушки openclaw" пропатчены сразу:
1. `plugins.entries.bonjour.enabled = false` — против mDNS crash-loop (см. [[projects/dttb/openclaw#Crash-loop-каждые-40-сек]]).
2. `pct set 139 --nameserver '1.1.1.1 8.8.8.8'` + правка `/etc/resolv.conf` — против FakeIP DNS от 10.0.0.1.
3. `NODE_OPTIONS=--dns-result-order=ipv4first` в systemd unit — против IPv6-сбоев Telegram API.
systemd unit для openclaw — **system-level** (`/etc/systemd/system/openclaw-gateway.service`), а не `--user` как на 137. В LXC без user-session `systemctl --user` не работает (`Failed to connect to bus`).
## Что осталось сделать после возвращения Олега
1. **NetBird ACL** `severny-les``server1c` (порт 5985 TCP минимум) — без него WinRM-actions не работают, watchdog мониторит только публичные проверки.
2. **Добавить @bz_sl_bot в TG-группу** руководящего состава, узнать `chat_id`, обновить `/etc/severny-les/watchdog.env` `BZ_TG_CHAT` и `openclaw.json` `groupAllowFrom`.
3. После миграции server1c на свой сервер — обновить IP в `/root/clawd/INFRASTRUCTURE.md` и в `buzharovo-watchdog.sh`.
## Артефакты
- LXC 139 `severny-les` (10.0.0.240)
- TG bot `@bz_sl_bot` (token `8322860033:...`)
- Справочник: [[projects/buzharovo/severny-les-bot]]
- Persona: `/root/clawd/{IDENTITY,INFRASTRUCTURE,USER,SOUL,TOOLS,MEMORY,HEARTBEAT}.md`
- Скрипты: `/root/clawd/scripts/check_buzharovo.sh`, `winrm_lib.py`, `check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `kill_orphan_ragent.py`, `heartbeat.sh`
- Watchdog: `/usr/local/bin/buzharovo-watchdog.sh` + `.service` + `.timer` (60s); `netbird-watchdog` clone с 137 (2 мин)
- Whitelist: `/root/.openclaw/exec-approvals.json`

85
decisions/2026-05-14-buzharovo-watchdog-public-only.md
View File

@@ -1,85 +0,0 @@
---
date: 2026-05-14
type: decision
tags: [decision, buzharovo, watchdog, netbird, monitoring, openclaw]
---
# 2026-05-14: Watchdog Бужарово — только публичный канал, NetBird вынесен из alert level
## Контекст
Олег в Египте, прислал что бот "сыпал ошибками вчера, попросил отключить мониторинг". Разведка:
1. **Все сервисы на LXC 139 живы** (`openclaw-gateway`, `buzharovo-watchdog.timer`, `netbird-watchdog.timer`, `netbird.service``active+enabled`). Олег ничего не отключал.
2. **Watchdog v1 правильно держал `WARNING_NETBIRD`** (последний алерт 13 мая ~19:32 МСК), антиспам корректный — повторных алертов не слал.
3. **Истинный источник "ошибок"**`openclaw primary model = omniroute/cc/claude-opus-4-7` упёрся в лимит Max-подписки:
```
omniroute (cc/claude-opus-4-7) returned a billing error — your API key has run out of credits
400 [400]: You're out of extra usage. Add more at claude.ai/settings/usage and keep going.
```
Каждое сообщение в боте + каждое ночное `memory-core dreaming` (cron 03:00) → billing 400 → failover на `kr/claude-sonnet-4.5`. На клиенте часть запросов могла отдаться с ошибкой раньше чем failover отработал.
4. **Server1C NetBird daemon (Windows)** регулярно flap'ает, `last_seen=2026-05-13T08:24:26` — > 25 часов вне mesh, хотя сервер сам публично жив (ping + RDP 3389 OK).
## Решения
### Фикс 1: primary model → free Sonnet 4.5
`/root/.openclaw/openclaw.json`:
```json
{
"primary": "omniroute/kr/claude-sonnet-4.5",
"fallbacks": [
"omniroute/cc/claude-sonnet-4-6",
"omniroute/gh/claude-sonnet-4.5",
"omniroute/cc/claude-opus-4-7"
]
}
```
Hot-reload подхватился. Backup конфига — `/root/.openclaw/openclaw.json.bak.opus-billing-<ts>`.
**Возврат на Opus как primary — только после пополнения Max** или подключения второго конектора в OmniRoute.
### Фикс 2: watchdog v2 — только публичный канал
Переписан `/usr/local/bin/buzharovo-watchdog.sh`. Логика alert-level **больше не учитывает NetBird-проверки**:
- `OK` — `ping 185.13.47.2` ✓ + `TCP 3389` (RDP) ✓
- `DEGRADED` — один из публичных упал
- `CRITICAL` — оба публичных упали
NetBird-уровень (`ping 100.70.75.103` + `TCP 5985`) **только логируется** в `state.json` (`ping_nb`, `winrm_nb`), но не меняет level и не порождает алерт.
При первом алерте в новую сессию (prev_level=INIT) добавляется пометка:
> _NetBird до сервера сейчас лежит — это известная регулярная проблема со стороны Windows-сервера, не влияет на работу 1С для пользователей. Watchdog проверяет только публичный канал._
**Почему так:** NetBird daemon на Server1C (Windows 2012 R2) теряет mesh-сессию регулярно (memory `feedback_netbird_watchdog`). Лечится `Restart-Service netbird` через RDP — но это ручная операция, и поток алертов из-за этого был шумом, а не сигналом. Сервер для пользователей в Бужарово при этом работает — 1С локально доступна.
**Что теряем:** WinRM-actions (`check_1c_service.py`, `check_rmngr_cpu.py`, `restart_1c_agent.py`, `sql_native_backup.py`) идут через NetBird (`100.70.75.103:5985`). Когда NetBird падает — эти actions недоступны. Бот в группе об этом честно скажет: "Не могу проверить состояние службы 1С — туннель до сервера временно лежит". Восстанавливается после `Restart-Service netbird` на server1c через RDP.
**Что НЕ теряем:** алерты о реально критичных событиях (сервер физически лёг публично, сеть провайдера упала, RDP закрылся).
## Деплой
```bash
pct push 139 wd.sh /usr/local/bin/buzharovo-watchdog.sh
chmod +x /usr/local/bin/buzharovo-watchdog.sh
chown root:root /usr/local/bin/buzharovo-watchdog.sh
echo "{}" > /var/lib/severny-les/state.json # force re-evaluate
# Manual run → level=OK, alert "Мониторинг включён" ушёл в группу
```
## Обновления в vault и persona
- `/root/clawd/MEMORY.md` на LXC 139 — добавлены уроки про Opus billing + watchdog v2
- [[projects/buzharovo/severny-les-bot]] — обновить ссылку на watchdog v2 (TODO)
- Этот decision-файл
## NetBird route 10.0.0.0/24 — попутно
Существующий route `Dom` (`cud7q73l0ubs73dr3gc0`) advertised через peer `pve 100.70.121.235 (Эстония)`, **disconnected**. Переключил routing peer на **`openclaw` (`d79s9g2fadhs739mihkg`)** через PUT `/api/routes/cud7q73l0ubs73dr3gc0`. Mac получил доступ к 10.0.0.0/24 через NetBird → openclaw → LAN.
## TODO (опционально, не сейчас)
- **Reverse SSH-туннель** server1c → severny-les для WinRM-actions без зависимости от NetBird. Server1C сам делает outbound SSH → LXC 139 пробрасывает 127.0.0.1:55985 → server1c:5985. WinRM-скрипты целятся в `localhost:55985`. Решает проблему "NetBird лёг — WinRM недоступен".
- **HTTPS WinRM (5986)** публично с certificate-pin'ом — альтернатива через интернет, но требует настройки SSL и хорошего firewall.
- **Ночной cron sql_native_backup.py** — автоматизация ежедневных бэкапов БД (TODO от 2026-05-08, см. соответствующий decision).

27
notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md
View File

@@ -1,27 +0,0 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T08:51:26.818Z
messages: 32
tools: [Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Готово.
- Задача отправлена Максимке в беседу `aecax6yg` Nextcloud Talk (msg id 331). Описана проблема, что пробовали и откатили, гипотезы по замедлению, 5 вариантов для оценки. Явно сказано не лезть в production без согласования.
- Доки приведены в соответствие с реальностью: [projects/mmfb/mikrotik.md](projects/mmfb/mikrotik.md) и [projects/niikn/mikrotik.md](projects/niikn/mikrotik.md) больше не описывают WG как активный — оба ссылаются на decision-doc со статусом ОТКАЧЕНО.
- Decision [decis
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 32 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task*

28
notes/claude/2026-04-20-120445-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md
View File

@@ -1,28 +0,0 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T09:04:45.826Z
messages: 33
tools: [Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Диагностика:
- Gateway активен. Максимка работает.
- В Telegram твой последний запрос 09:04 — Максимка ответил, но с задержкой ~14 сек из-за автофоллбека модели (`kr/claude-sonnet-4.5``zai/kr/...`, известный warning, не критично).
- В **Talk** мои сообщения тебе не доходят: первое в группу `aecax6yg` дропнуто `groupPolicy=allowlist (admin не разрешён)`; второе в DM `6doo2fdg` бот вообще не получил — webhook на новый DM-room не зарегистрирован.
Самый чистый фикс: добавить `admin` в `channels.
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 33 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task*

23
notes/claude/2026-04-20-121723-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-20
type: claude-session
session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
started: 2026-04-20T06:51:15.969Z
ended: 2026-04-20T09:17:23.299Z
messages: 34
tools: [Bash, Edit, Glob, Grep, Read, ToolSearch, Write, mcp__ccd_session__spawn_task]
tags: [claude, session]
---
# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
## Запрос
Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
## Итог (последний ответ Claude, до 500 симв.)
Готово. Allowlist починен (`groupAllowFrom` нужен с префиксом `users/admin`), Максимка ответил на тестовое (id 342, 343) и теперь получил настоящую задачу `id 347`. Ответ должен прийти в основную беседу `aecax6yg` через минуту-две.
---
*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 34 сообщ., тулы: Bash, Edit, Glob, Grep, Read, ToolSearch, Write, mcp__ccd_session__spawn_task*

31
notes/claude/2026-04-21-121536-проверь-на-маке-не-работает-anydesk.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
started: 2026-04-21T09:14:06.823Z
ended: 2026-04-21T09:15:36.731Z
messages: 2
tools: [Bash]
tags: [claude, session]
---
# проверь на маке не работает anydesk
## Запрос
проверь на маке не работает anydesk
## Итог (последний ответ Claude, до 500 симв.)
AnyDesk запущен и подключён к relay (TCP *:7070 LISTEN + ESTABLISHED к relay-7c3ce2b1.net.anydesk.com:443). Сеть ок.
Что именно не работает? Варианты:
1. Не пускает на экран (macOS permissions — Screen Recording / Accessibility)
2. Не подключается к твоему ID (входящие)
3. Не можешь подключиться к другому хосту (исходящие)
4. Чёрный экран при подключении
Также замечу — в /Applications/ две копии: `AnyDesk.app` и `AnyDesk 2.app`. Старая копия могла держать привилегии TCC на себя. Уточни симптом
---
*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 2 сообщ., тулы: Bash*

32
notes/claude/2026-04-21-122546-проверь-на-маке-не-работает-anydesk.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
started: 2026-04-21T09:14:06.823Z
ended: 2026-04-21T09:25:46.198Z
messages: 3
tools: [Bash]
tags: [claude, session]
---
# проверь на маке не работает anydesk
## Запрос
проверь на маке не работает anydesk
## Итог (последний ответ Claude, до 500 симв.)
osascript prompt не сработал (возможно нужна фокусировка на UI). Запусти в терминале вручную одной командой (попросит пароль один раз):
```bash
sudo sh -c '
launchctl unload /Library/LaunchDaemons/com.philandro.anydesk.service.plist 2>/dev/null
launchctl unload /Library/LaunchDaemons/com.philandro.anydesk.Helper.plist 2>/dev/null
pkill -9 -f AnyDesk
rm -rf "/Applications/AnyDesk.app" "/Applications/AnyDesk 2.app" \
/etc/anydesk \
/Library/LaunchDaemons/com.philandro.anydesk.servic
---
*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 3 сообщ., тулы: Bash*

34
notes/claude/2026-04-21-132758-проверь-на-маке-не-работает-anydesk.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
started: 2026-04-21T09:14:06.823Z
ended: 2026-04-21T10:27:58.046Z
messages: 4
tools: [Bash]
tags: [claude, session]
---
# проверь на маке не работает anydesk
## Запрос
проверь на маке не работает anydesk
## Итог (последний ответ Claude, до 500 симв.)
Фоновый `find` нашёл ещё артефакты. Добавь к команде очистки (user-level, без sudo):
```bash
rm -f ~/Library/Preferences/com.philandro.anydesk.plist
rm -f ~/Library/Application\ Support/CrashReporter/AnyDesk_*.plist
```
Запустить можно прямо сейчас, параллельно с основной командой.
Записи в `~/Library/Parallels/.../AnyDesk/` — это ярлыки AnyDesk **изнутри Windows-VM в Parallels** (Parallels пробрасывает их в macOS-меню). К macOS-версии не относятся, трогать не нужно.
Homebrew кэш (`anydesk.d
---
*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 4 сообщ., тулы: Bash*

31
notes/claude/2026-04-21-143957-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T11:39:57.084Z
messages: 2
tools: [Glob, Grep, Read]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Изучил топологию охотхозяйства. Ситуация ясна — у тебя уже есть зачатки резервного канала, просто сломанные.
## Что уже есть
**Основной (Netbird):** Orange Pi (100.70.63.67) раздаёт 192.168.8.0/24, работает через relay.
**Недоделанный резерв (WG):** На Orange Pi `wg0` → VPS 89.111.140.86. Сломан по глупой причине — **port mismatch**: Orange Pi шлёт на `:51820`, VPS слушает `:51821`. VPS-пир охотхозяйства в `wg0` VPS существует, но без endpoint.
**WG на MikroTik отключён** — правильно, там de
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 2 сообщ., тулы: Glob, Grep, Read*

34
notes/claude/2026-04-21-144604-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T11:46:04.566Z
messages: 3
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Все доступные SSH-ключи перепробованы, к VPS не пускают. Без VPS дальше идти нельзя — там настроен WG-хаб, и пир Orange Pi на VPS не работает (скорее всего ключ на стороне VPS не прописан или другой).
## Что сделано
- Orange Pi порт wg0 исправлен: `51820 → 51821`
- Интернет на объекте не пострадал, всё работает
- Netbird по-прежнему работает (это и был основной канал)
## Что выяснилось
- Handshake wg0 **не устанавливается** даже с правильным портом (0 B received после 30 сек)
- Значит на VPS
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 3 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

31
notes/claude/2026-04-21-150131-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:01:31.863Z
messages: 4
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Ключ готов: `~/.ssh/vps_znam_key`
**Pubkey для заливки** (выдели и сохрани):
```
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIG1eAjglhAWl3kruslBd6AKs5mi0O70JOB6MFZHLWqwT mac-MacBookPro-20260421-vps_znam
```
Скажи какой из трёх вариантов у тебя есть — и действуем.
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 4 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

30
notes/claude/2026-04-21-150501-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,30 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:05:01.698Z
messages: 5
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
BW CLI нет. Два пути — выбирай:
**A. Быстрый (1 минута):** открой https://bit.dttb.ru сам, поищи запись по "89.111.140.86" / "swtest" / "znam" / "охотхозяйство VPS". Скинь сюда:
- либо **пароль root**,
- либо **приватный ключ** (если сохранён как файл),
- либо прямо скажи «нашёл, заливаю pubkey сам» — и просто добавь мою строчку в VPS через веб-консоль хостера
**B. Правильный (10 минут):** поставлю `bw` CLI на Mac, залогинюсь твоим `client_id`/`client_secret` + master password, буду сам читат
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 5 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

32
notes/claude/2026-04-21-150916-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:09:16.155Z
messages: 6
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Попробуй два варианта по очереди:
**Вариант 1 (чистая ed25519, без комментария, одной строкой):**
```
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIG1eAjglhAWl3kruslBd6AKs5mi0O70JOB6MFZHLWqwT
```
**Вариант 2 (RSA-4096 если ed25519 не хочет):**
```
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDnFTW6eghA9XPab5nZILk9RSnqXUmluydFUVy0NYL34n0utJU+Jmd03QHuHMFIh062KrZvv0Fbg4/mStelpMwksNul9Zf98XSuulH7BU5Jk5coBZz48WWSo43Sao9e4kkiJEvq3IGAWUS0M/HxQvTtVEaJBKw8xOimozoXVSyIgqbdLc1ZXRJ+Mx0AQtyx8/o/V1J7MdM7VKogyBvVWjIV3MzFYfG
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 6 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

30
notes/claude/2026-04-21-151031-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,30 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:10:31.877Z
messages: 7
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Не воюй с валидатором. На скриншоте виден второй пункт — **«Сгенерировать ключи»**. Переключись на него. Панель сгенерит пару сама, даст скачать приватный ключ — а я его использую.
Порядок:
1. Выбери радио «**Сгенерировать ключи**»
2. Имя ключа: `claude` (или любое)
3. Нажми «Добавить ключ»
4. Панель даст скачать **приватный** ключ (обычно `.txt` или `.pem`, имя типа `claude.key`)
5. Скачай файл → скажи мне где он лежит (например `~/Downloads/claude.key`), я положу его в `~/.ssh/` и зайду на VP
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 7 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

32
notes/claude/2026-04-21-152001-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:20:01.077Z
messages: 8
tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
## Готово. Резервный канал работает
**Что работает прямо сейчас:**
- **Канал 1 (основной):** Netbird → Orange Pi `100.70.106.227` → LAN 192.168.8.0/24
- **Канал 2 (резервный):** Интернет → VPS `89.111.140.86` → WG-туннель → LAN 192.168.8.0/24
Проверено: NVR web отвечает HTTP 200 за 0.22s через публичный DNAT `89.111.140.86:8180`, handshake 4 сек назад, трафик идёт. Интернет на объекте не тронут.
**Что пофиксили на самом деле — две ошибки**, а не одна:
1. Orange Pi `wg0` endpoint port: `51820
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 8 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

32
notes/claude/2026-04-21-154602-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T12:46:02.805Z
messages: 9
tools: [Bash, Edit, Glob, Grep, Read, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Готово. Коммит `d3ad7c3` запушен в Gitea.
**Итоги по задаче:**
- Резервный WG-канал работает (ping, DNAT, handshake — всё зелёное)
- Netbird остался основным, WG — резерв
- Документация обновлена: [decision](decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md) + [охотхозяйство](claude-memory/znamenskoye-ohothozyistvo.md)
**Что остаётся на потом:**
- Сохранить `~/.ssh/vps_znam_key` (RSA, имя в sweb.ru = `claude`) в Bitwarden → `bit.dttb.ru`
- Опционально: второй WG-peer на `:443
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 9 сообщ., тулы: Bash, Edit, Glob, Grep, Read, TodoWrite, ToolSearch, Write*

42
notes/claude/2026-04-21-200915-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md
View File

@@ -1,42 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
started: 2026-04-21T11:37:09.813Z
ended: 2026-04-21T17:09:15.156Z
messages: 10
tools: [Bash, Edit, Glob, Grep, Read, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если
## Запрос
охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
## Итог (последний ответ Claude, до 500 симв.)
Готово. Коммит `c1819f9` запушен.
## Доступ развёрнут
**С Mac:**
```
ssh vps-znam # через Netbird (100.70.93.36)
ssh vps-znam-public # через публичный IP (89.111.140.86)
```
**С openclaw (LXC 137):**
```
pct exec 137 -- ssh vps-znam
```
Ключи: `~/.ssh/vps_znam_key` на Mac, `/root/.ssh/vps_znam_key` на openclaw. Оба хоста проверены — заходят.
## В KB сохранено
- [projects/dttb/vps-swtest.md](projects/dttb/vps-swtest.md) — полная справка: пиры WG, DNAT-порты камер для всех трё
---
*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 10 сообщ., тулы: Bash, Edit, Glob, Grep, Read, TodoWrite, ToolSearch, Write*

35
notes/claude/2026-04-21-202222-tmpnvr-camera-tasktxt.md
View File

@@ -1,35 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 08d2840d-d17c-4d88-a51b-658d743e5fca
started: 2026-04-21T17:15:26.136Z
ended: 2026-04-21T17:22:22.975Z
messages: 2
tools: [Bash, Grep, Read]
tags: [claude, session]
---
# /tmp/nvr-camera-task.txt
## Запрос
/tmp/nvr-camera-task.txt
## Итог (последний ответ Claude, до 500 симв.)
## Диагноз: камера Знаменское-29 физически offline
Проверил всю цепочку — проблема **не** в VPS/DNAT/NVR. Камеры нет в сети.
**Что работает:**
- VPS 89.111.140.86: ✅ доступен, WG поднят
- DNAT 8080/8082/8554 → 192.168.88.42: ✅ установлены, счётчики идут (8082 TCP: 56K пакетов)
- WG-пир 10.5.0.2 (MikroTik З-29): ✅ handshake 14с назад
- MikroTik 192.168.88.1: ✅ пингуется с VPS
**Что сломано:**
- **Камера `192.168.88.42` offline уже 39 минут**
- ARP на MikroTik для .42 = `incomplete`, MAC `24:0F
---
*Автосохранено из session [`08d2840d`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/08d2840d-d17c-4d88-a51b-658d743e5fca.jsonl) — 2 сообщ., тулы: Bash, Grep, Read*

33
notes/claude/2026-04-21-203517-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,33 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:35:17.953Z
messages: 2
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Готово. Задачу понял и выполнил:
**Создан setup-key в Netbird:**
- Ключ: `83301E74-6F86-4CBD-AF77-0C65730103CA`
- Группа: `Claude-Diag` (новая, dedicated)
- Тип: reusable, unlimited, non-ephemeral
- Истекает: **2026-05-21** (30 дней)
**Запомнил в двух местах:**
- Memory — [reference_netbird_claude_diag.md](/Users/ai/.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag.md) (команды под Win/Linux/macOS + процедура перевыпуска)
- Vault — [projects/dttb/credentials.md](pr
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 2 сообщ., тулы: Bash, Edit, Grep, Read, Write*

36
notes/claude/2026-04-21-203731-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,36 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:37:31.835Z
messages: 3
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Готово. Скрипт многоразовый, идемпотентный — [snippets/netbird-claude-install.ps1](snippets/netbird-claude-install.ps1).
**Что делает:**
1. Ставит Netbird MSI (skip если стоит)
2. Регистрирует с `Claude-Diag` ключом
3. Включает RDP
4. Включает WinRM (Basic + allow unencrypted для pywinrm)
5. Создаёт правила firewall для RDP/5985/5986 **только с `100.70.0.0/16`**
6. Печатает Netbird IP + hostname + инструкцию что прислать мне
**Запуск (PowerShell от админа), один из:**
```powershell
# (А) Из G
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 3 сообщ., тулы: Bash, Edit, Grep, Read, Write*

31
notes/claude/2026-04-21-203859-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:38:59.979Z
messages: 4
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
URL работает (200 OK, публично). Однострочник для Windows:
```powershell
iwr -useb https://git.dttb.ru/oleg/knowledge-base/raw/branch/main/snippets/netbird-claude-install.ps1 | iex
```
PowerShell от администратора — скрипт сам поставит Netbird, подключится с Claude-Diag ключом, откроет RDP/WinRM только для `100.70.0.0/16` и выведет IP + hostname для передачи мне.
Закоммичено и запушено в Gitea — коммит `f203bf9`.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 4 сообщ., тулы: Bash, Edit, Grep, Read, Write*

34
notes/claude/2026-04-21-204027-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:40:27.921Z
messages: 5
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Коммит закоммичен. Запусти в PowerShell:
```powershell
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]'Tls12,Tls13'
iwr -useb https://git.dttb.ru/oleg/knowledge-base/raw/branch/main/snippets/netbird-claude-install.ps1 | iex
```
Если опять упадёт — пришли полный вывод этой команды, чтобы понять на каком шаге и какой код ошибки:
```powershell
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]'Tls12,Tls13'
try { iwr -useb https://git.dttb.ru/oleg/kn
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 5 сообщ., тулы: Bash, Edit, Grep, Read, Write*

32
notes/claude/2026-04-21-204312-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:43:12.764Z
messages: 6
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
`SEC_E_SECPKG_NOT_FOUND` — SChannel на уровне ОС не предоставляет нужный TLS. Классика для Windows Server 2012R2 без обновлений, где TLS 1.2 есть, но по умолчанию не активен для .NET.
**Попробуй сначала обход через `certutil`** (другой TLS-стек, часто работает без reboot):
```powershell
certutil -urlcache -split -f "https://git.dttb.ru/oleg/knowledge-base/raw/branch/main/snippets/netbird-claude-install.ps1" "$env:TEMP\nb.ps1"
powershell -ExecutionPolicy Bypass -File "$env:TEMP\nb.ps1"
```
**Е
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 6 сообщ., тулы: Bash, Edit, Grep, Read, Write*

33
notes/claude/2026-04-21-204925-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,33 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:49:25.360Z
messages: 7
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
```powershell
& "C:\Program Files\Netbird\netbird.exe" up --setup-key 83301E74-6F86-4CBD-AF77-0C65730103CA
```
Потом глянь IP:
```powershell
& "C:\Program Files\Netbird\netbird.exe" status
```
Пришли `100.70.x.x` + логин/пароль пользователя для RDP/WinRM.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 7 сообщ., тулы: Bash, Edit, Grep, Read, Write*

32
notes/claude/2026-04-21-205121-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:51:21.780Z
messages: 8
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Создай отдельного пользователя `claude` для диагностики — я потом его удалю:
```powershell
$pw = ConvertTo-SecureString "Kl@udeD1ag!2026" -AsPlainText -Force
New-LocalUser -Name "claude" -Password $pw -FullName "Claude Diag" -PasswordNeverExpires -AccountNeverExpires -Description "Временный доступ для диагностики через Netbird"
$admins = (Get-LocalGroup | Where-Object { $_.SID.Value -like "*-544" }).Name
Add-LocalGroupMember -Group $admins -Member "claude"
# Netbird IP
& "C:\Program Files\Netb
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 8 сообщ., тулы: Bash, Edit, Grep, Read, Write*

31
notes/claude/2026-04-21-205225-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:52:25.673Z
messages: 9
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Порядок строк перевернулся при вставке. Дай одной строкой (через `;`):
```powershell
$pw = ConvertTo-SecureString "Kl@udeD1ag!2026" -AsPlainText -Force; New-LocalUser -Name claude -Password $pw -FullName "Claude Diag" -PasswordNeverExpires -AccountNeverExpires; $admins = (Get-LocalGroup | Where-Object { $_.SID.Value -like "*-544" }).Name; Add-LocalGroupMember -Group $admins -Member claude
```
Netbird IP зафиксировал: **`100.70.121.131`**, FQDN `volkkent.netbird.cloud`.
Теперь открой RDP и Win
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 9 сообщ., тулы: Bash, Edit, Grep, Read, Write*

26
notes/claude/2026-04-21-205429-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,26 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:54:29.668Z
messages: 10
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Peer в Netbird виден, но порты закрыты — Windows Firewall блокирует, т.к. Netbird-интерфейс попал в Public-профиль. Переведи в Private:
```powershell
$nbAlias = (Get-NetIPAddress -AddressFamily IPv4 | Where-Object {$_.IPAddress -like "100.70.*"}).InterfaceAlias; Set-NetConnectionProfile -InterfaceAlias $nbAlias -NetworkCategory Private; Get-NetConnectionProfile | Format-Table Name, InterfaceAlias, NetworkCategory; Get-NetFirewallRule -DisplayName "Claude-Diag-*" | Format-Table DisplayName, Enab
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 10 сообщ., тулы: Bash, Edit, Grep, Read, Write*

29
notes/claude/2026-04-21-205707-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,29 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:57:07.470Z
messages: 11
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Туннель не строится (`Connection type: -`) — похоже сервис Netbird на Windows потерял связь после фикса firewall. Перезапусти его и покажи детальный статус:
```powershell
Restart-Service Netbird; Start-Sleep 5; & "C:\Program Files\Netbird\netbird.exe" status --detail | Select-String -Context 0,8 "MacBook|Mac-Pro|242.212"
```
Или без фильтра покажи секцию про мой Mac целиком — нужно увидеть `Connection type` (должно быть `P2P` или `Relayed`) и `ICE candidate`. Пришли этот кусок.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 11 сообщ., тулы: Bash, Edit, Grep, Read, Write*

31
notes/claude/2026-04-21-205949-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T17:59:49.441Z
messages: 12
tools: [Bash, Edit, Grep, Read, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Зашёл! С openclaw через WinRM:
- **Host:** `Volkkent`
- **OS:** Windows 11 Home Single Language
- **User:** `volkkent\claude`
Mac-sudo сработал, но после перезапуска Netbird на Mac Signal/Management ещё не поднялись — не критично, хожу через openclaw.
**Что диагностировать на Volkkent?** Какой это проект и в чём проблема?
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 12 сообщ., тулы: Bash, Edit, Grep, Read, Write*

33
notes/claude/2026-04-21-212557-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,33 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T18:25:57.226Z
messages: 15
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
## Оценка времени
TLS всё ещё не работает после SFC — значит дело не в файлах, а в активном хуке. Основной подозреваемый: **Crypto-Pro CSP** (установлен на ПК, известен порчей SSPI).
### Сценарии
| Сценарий | Время | Вероятность |
|---|---|---|
| **A.** Снести Crypto-Pro → TLS работает → WU → Defender → Happ → отчёт | **2-3 часа** | ~60% |
| **B.** Crypto-Pro нужен → переустановка его же → если помогло → всё остальное | **4-6 часов** | ~25% |
| **C.** Offline-DISM с ISO Windows 11 22H2 (6GB с
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 15 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

34
notes/claude/2026-04-21-212926-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T18:29:26.829Z
messages: 20
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
## Объяснение для владельца
---
**Что сломано на вашем компьютере:**
Три года назад установили **КриптоПро CSP 4.0** (для работы с электронной подписью — Госуслуги, ФНС, тендеры, ЭДО). Windows тогда был Windows 10, всё работало.
Потом Windows обновился до Windows 11. А КриптоПро 4.0 **официально не поддерживается на Windows 11**. Из-за этого сломался системный модуль безопасности (SSPI/SChannel).
**Последствия поломки:**
- Windows не обновляется с марта 2023 (3 года без патчей безопасности)
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 20 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

34
notes/claude/2026-04-21-222706-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T19:27:06.514Z
messages: 21
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Volkkent ушёл в оффлайн 6 минут назад (19:20 UTC, сейчас 19:26). Скорее всего руководитель закрыл ноутбук. Продолжу когда он вернётся онлайн.
**План после возврата:**
1. Найти UninstallString КриптоПро CSP 4.0
2. Снести quiet (`msiexec /x {GUID} /qn /norestart`)
3. Ребут
4. Проверить TLS (`Invoke-WebRequest https://www.microsoft.com`)
5. Если TLS ОК → Update-MpSignature (Defender) → Windows Update (1-2 часа)
6. Happ переустановка
7. Отчёт
Напиши когда ноутбук снова будет онлайн (Netbird IP `10
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 21 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-21-223334-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T19:33:34.879Z
messages: 24
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Жду уведомления о возврате WinRM (фоновая задача b1j06ga5i).
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 24 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-21-224047-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-21
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T19:40:47.305Z
messages: 27
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Жду уведомления.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 27 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

32
notes/claude/2026-04-22-000039-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T21:00:39.234Z
messages: 32
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Диск проанализирован. Пока 24H2 устанавливается — ничего критичного не трогаю. Вот **план оптимизации** после апгрейда.
## План чистки и оптимизации
### Диск (С: занято 94.8 GB / 25.2 GB свободно)
**Что можно освободить (~10-15 GB):**
- **`C:\Windows\SoftwareDistribution\Download` — 13.25 GB** (сейчас там дистрибутив 24H2, чистить **после** окончания апгрейда)
- `C:\Windows\SoftwareDistribution.bak-20260421210941` — 40 MB (мой backup от сброса WU, можно удалить)
- Корзина — 0.7 GB
- После 24H2
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 32 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

31
notes/claude/2026-04-22-000323-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T21:03:23.878Z
messages: 33
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
**Статус:**
- ОС сейчас: Windows 11 22H2 build **22621.4317** (накопительные применились)
- 24H2 **ещё не применён** — setup в фазе подготовки (на экране "15%"), будет reboot
- Happ отсутствует (я не удалял — видимо сам удалил или 24H2 Readiness Check пометил как несовместимое)
- Дистрибутив Happ в Downloads есть (`setup-Happ.x64 (1).exe` 92 MB)
**Ставить Happ сейчас рискованно** — помешает финализации 24H2. Дождусь завершения апгрейда → тогда поставлю свежий Happ.
Когда 24H2 закончит (ноут пе
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 33 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-22-011754-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:17:54.566Z
messages: 34
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Пока Happ ставится — обновляю memory.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 34 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-22-012759-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:27:59.079Z
messages: 37
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Жду финальных цифр от DISM, потом полный отчёт.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 37 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

34
notes/claude/2026-04-22-013734-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,34 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:37:34.596Z
messages: 40
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
**Да, нужен ребут.** RebootPending=True (DISM ResetBase требует).
Сейчас: C: 97.92 GB / 22.08 GB свободно (было 22.2 — DISM освободил ~4 GB WinSxS, но Defender после обновления + Windows.old заняли столько же).
**После ребута финализируется DISM** и освободится ещё 2-4 GB.
Статус:
- ✅ WUCSProxy (вредный Huawei proxy) отключён
- ✅ Телеметрия HP/Canon отключена
- ✅ Adobe Acrobat tray + AdobeGC + Opera Assistant убраны из автозагрузки
- ✅ Мои Claude scheduled tasks удалены
- ✅ Temp/Recycle/SD.b
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 40 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-22-014218-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:42:18.667Z
messages: 41
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Ребут ещё идёт. Жду возврата WinRM.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 41 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

23
notes/claude/2026-04-22-014336-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:43:36.986Z
messages: 42
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Ребут ещё идёт. Жду возврата WinRM.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 42 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

27
notes/claude/2026-04-22-014835-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,27 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:48:35.661Z
messages: 43
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
**Windows теперь легально активирован** через заводской OEM-ключ HUAWEI (`QNMDW-YGJ24-PM679-237FX-GJGGB`), активация постоянная (не KMS). Пиратский `kms.digiboy.ir` убран.
Осталось только **Office 2021 Standard** — он всё ещё через пиратский KMS (Volume-лицензия). Если владельцу нужен легальный Office — нужна покупка лицензии или замена на МойОфис / Р7-Офис.
Все работы по ПК завершены. Memory обновлена.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 43 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

27
notes/claude/2026-04-22-015013-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,27 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:50:13.562Z
messages: 44
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
**Windows теперь легально активирован** через заводской OEM-ключ HUAWEI (`QNMDW-YGJ24-PM679-237FX-GJGGB`), активация постоянная (не KMS). Пиратский `kms.digiboy.ir` убран.
Осталось только **Office 2021 Standard** — он всё ещё через пиратский KMS (Volume-лицензия). Если владельцу нужен легальный Office — нужна покупка лицензии или замена на МойОфис / Р7-Офис.
Все работы по ПК завершены. Memory обновлена.
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 44 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

35
notes/claude/2026-04-22-015616-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,35 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T22:56:16.598Z
messages: 45
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
**AnyDesk работает нормально:**
- Версия 9.7.0 (актуальная)
- 4 процесса запущены
- Служба AnyDesk: Running / Automatic
- В логах чисто, SmartScreen не блокирует, Defender не помечает
Если проблема не в том что «не запускается» — уточни что именно: free-версия с ограничением на сессии? Не пускает подключаться? Или что-то другое?
**Что осталось сделать:**
### Основное
1. **Office 365 Business** — легализация (жду ответы на вопросы):
- Outlook используется? PST/аккаунты проверить перед сносо
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 45 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

31
notes/claude/2026-04-22-020849-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T23:08:49.239Z
messages: 46
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
Установку Office начну как только Volkkent ответит. Напомню план:
1. Проверю Outlook профили + PST файлы (чтобы не потерять почту)
2. Остановлю Office-процессы (WINWORD/EXCEL/OUTLOOK если открыты)
3. Снесу Office LTSC 2021 Standard через ODT `/configure config-remove.xml`
4. Поставлю M365 Apps for Business x64 ru-ru+en-us через `/configure config-install.xml`
5. После установки владелец откроет любое приложение → войдёт `glavtorg@7ppcln.onmicrosoft.com` → активация автоматическая
Скажи когда н
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 46 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

37
notes/claude/2026-04-22-021233-дай-мне-команду-в-сшел-виндовс-установка-нетбирд-и.md
View File

@@ -1,37 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 2e001b20-25ed-4910-8f56-688a277a3354
started: 2026-04-21T17:31:10.001Z
ended: 2026-04-21T23:12:33.291Z
messages: 47
tools: [Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write]
tags: [claude, session]
---
# Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно
## Запрос
Дай мне команду в сшел виндовс установка нетбирд и подключение . Пом тебе нужно подключиться как то для диагностики и исправления проблем.
## Итог (последний ответ Claude, до 500 симв.)
---
# 📋 Отчёт о работе над ноутбуком HUAWEI MateBook
**Владелец:** Ярослав · **Организация:** Главторг
**Даты работы:** 2122 апреля 2026 · **Общее время:** ~6 часов
**Канал диагностики:** Netbird VPN (100.70.121.131)
---
## 🎯 Исходная задача
> «Переустановить Happ (работает странно), разобраться почему Windows не обновляется и программы не ставятся, посмотреть общую работу. Комп должен работать хорошо.»
## 🔍 Что нашли по ходу диагностики
Оказалось что корневая проблема одна, а последствий
---
*Автосохранено из session [`2e001b20`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/2e001b20-25ed-4910-8f56-688a277a3354.jsonl) — 47 сообщ., тулы: Bash, Edit, Grep, Read, ScheduleWakeup, TodoWrite, ToolSearch, Write*

32
notes/claude/2026-04-22-125522-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,32 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T09:55:22.786Z
messages: 2
tools: [Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
OAuth модал открыт, Google signin вкладка тоже. Для OAuth нужен твой Google логин — я не могу вводить пароль за тебя.
**План:**
1. Вкладка Chrome уже открыта на `accounts.google.com` (готово).
2. Ты логинишься `batlaew@gmail.com` → Allow.
3. Google редиректит на `http://10.0.0.179:20128/callback?code=...` — этот URL скопируй.
4. Я вставлю его в OR модал, нажму `Connect`.
5. Проверю `project_id` в БД, если появился — повторяем для остальных 4 аккаунтов.
Готов — логинься во вкладке `Вход Googl
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 2 сообщ., тулы: Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell*

30
notes/claude/2026-04-22-125818-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,30 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T09:58:18.514Z
messages: 3
tools: [Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
Установлено `3.6.7`, latest `3.6.9` — 2 патча разницы. Вероятно правильная обработка projectId именно в новой версии. Предлагаю **поменять порядок**: сначала обновить OR до 3.6.9, потом переподключать OAuth — иначе переподключим вслепую без результата.
Обновить OR сейчас? Это:
```
cd /root/.npm/_npx/cb5891f90ae65d14 && npm install omniroute@latest
systemctl restart omniroute
```
Бот Максимка на пару минут потеряет ресёрч-модели (OmniRoute даунтайм ~30-60 сек). Кроме Antigravity ничего не должно
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 3 сообщ., тулы: Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell*

29
notes/claude/2026-04-22-130356-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,29 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T10:03:56.008Z
messages: 4
tools: [Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
Итоги проверки:
**Antigravity:** в 30+ БД-бэкапах `project_id` **никогда не сохранялся**. Значит дело не в версии OR — нужен **onboarding каждой Google-учётки на antigravity.google** (принять Terms + присвоение Code Assist project). Без этого OAuth в OR ловит токен, но projectId не получает.
**OmniRoute 3.6.7 → 3.6.9:** обновлено, работает.
**Альтернатива, которая уже работает:** `cc/claude-opus-4-6` (Claude native через Max-подписку) — тест вернул 200 OK. Но лимиты Max будут делиться с твоей
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 4 сообщ., тулы: Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__macos-mcp__Shell*

30
notes/claude/2026-04-22-130753-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,30 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T10:07:53.532Z
messages: 5
tools: [Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
Chrome MCP блокирует переход на antigravity.google. Открыл в отдельном окне через `open` — глянь пожалуйста, открылась ли у тебя вкладка с antigravity.google?
Пока открывается, напомню процесс onboarding:
1. На antigravity.google нажми **Sign in with Google** → выбрать `batlaew@gmail.com`.
2. Если спросит Accept Terms / Enable Code Assist — принимаешь.
3. Когда увидишь интерфейс antigravity (IDE/редактор) — выходишь (закрываешь вкладку). Onboarding на этом готов.
Дай знать когда первый аккаунт
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 5 сообщ., тулы: Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell*

31
notes/claude/2026-04-22-130945-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,31 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T10:09:45.346Z
messages: 6
tools: [Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
Пошаговая инструкция (делаем по очереди, я подключаюсь на шагах с OR):
**Для каждой из 5 Google-учёток:**
### Шаг 1 — ты: onboarding на antigravity.google
1. Открой Chrome → **приватную вкладку** (⌘+Shift+N) → https://antigravity.google
2. Жми **Sign in** / **Get started** → выбери учётку (сегодня первая — `batlaew@gmail.com`) → введи пароль.
3. Если покажет **Accept Terms of Service** / **Enable Code Assist** / **Enable Cloud AI** — соглашайся.
4. Когда загрузится сам Antigravity IDE (редакто
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 6 сообщ., тулы: Bash, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell*

23
notes/claude/2026-04-22-131309-проверь-на-омнироуте-антигравити-там-есть-опус-46-.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: d1842018-98ea-4632-84d5-019119c893b2
started: 2026-04-22T09:47:11.413Z
ended: 2026-04-22T10:13:09.814Z
messages: 7
tools: [Bash, Edit, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell]
tags: [claude, session]
---
# Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с соне
## Запрос
Проверь на омнироуте антигравити там есть опус 4.6 это по аналоги киро аи с сонет 4.5 если да нужно в опен клав настроить на опус 4.6 если будет по лимитам хватать там несколько учеток7
## Итог (последний ответ Claude, до 500 симв.)
Memory обновлена — вечером начнём с onboarding `batlaew@gmail.com` на antigravity.google.
---
*Автосохранено из session [`d1842018`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/d1842018-98ea-4632-84d5-019119c893b2.jsonl) — 7 сообщ., тулы: Bash, Edit, Read, TodoWrite, ToolSearch, Write, mcp__Claude_in_Chrome__computer, mcp__Claude_in_Chrome__find, mcp__Claude_in_Chrome__navigate, mcp__Claude_in_Chrome__tabs_context_mcp, mcp__Claude_in_Chrome__tabs_create_mcp, mcp__macos-mcp__Shell*

23
notes/claude/2026-04-22-132601-httpsantigravitygoogle.md
View File

@@ -1,23 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 594af5ec-8bc2-4774-836e-a15453485db5
started: 2026-04-22T10:23:42.307Z
ended: 2026-04-22T10:26:01.428Z
messages: 2
tools: []
tags: [claude, session]
---
# https://antigravity.google/
## Запрос
https://antigravity.google/
## Итог (последний ответ Claude, до 500 симв.)
Что сделать с этой ссылкой? Открыть и посмотреть что там, или это контекст для следующего вопроса?
---
*Автосохранено из session [`594af5ec`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/594af5ec-8bc2-4774-836e-a15453485db5.jsonl) — 2 сообщ., тулы: none*

29
notes/claude/2026-04-22-132813-httpsantigravitygoogle.md
View File

@@ -1,29 +0,0 @@
---
date: 2026-04-22
type: claude-session
session_id: 594af5ec-8bc2-4774-836e-a15453485db5
started: 2026-04-22T10:23:42.307Z
ended: 2026-04-22T10:28:13.318Z
messages: 3
tools: [Read]
tags: [claude, session]
---
# https://antigravity.google/
## Запрос
https://antigravity.google/
## Итог (последний ответ Claude, до 500 симв.)
Можно, но надо выбрать подход — варианты разные по сложности и месту работы:
1. **Smart Connections** (плагин Obsidian) — локальные embeddings, работает в самом Obsidian на Mac. Проще всего, но только в GUI-клиенте.
2. **Внешний RAG на openclaw/code-server** — Qdrant/Chroma + скрипт индексации vault из Gitea, доступ через MCP-тул или HTTP. Даёт поиск из Claude Code, бота, чего угодно.
3. **Copilot for Obsidian** — плагин + внешний LLM (OmniRoute/локальный), чат по vault прямо в Obsidian.
Куда
---
*Автосохранено из session [`594af5ec`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/594af5ec-8bc2-4774-836e-a15453485db5.jsonl) — 3 сообщ., тулы: Read*

Some files were not shown because too many files have changed in this diff Show More