znamenskoye-ohothozyistvo: восстановлен резервный канал WG через VPS

Было две ошибки одновременно: Orange Pi шлёт на :51820 (VPS слушает :51821)
и pubkey пира 10.5.0.3 на VPS не соответствовал текущему ключу Orange Pi
(остался от старого MikroTik wg-vps).

Исправил атомарно через wg syncconf без падения других пиров. Теперь
89.111.140.86:8180 отвечает HTTP 200, WG handshake идёт. Netbird IP объекта
обновился на 100.70.106.227. Новый ключ ~/.ssh/vps_znam_key — нужно сохранить в Bitwarden.

Подробности: decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md

claude-memory/znamenskoye-ohothozyistvo.md

@@ -9,8 +9,8 @@ type: project
 ## Обзор
 
 Удалённый объект (охотхозяйство) с интернетом через LTE (CGNAT). Удалённый доступ организован двумя каналами:
-1. **Netbird VPN** через Orange Pi — основной канал управления
+1. **Netbird VPN** через Orange Pi — основной канал управления (Connected P2P, новый IP 100.70.106.227)
-2. **WireGuard** через VPS (89.111.140.86) — канал для видеонаблюдения (DNAT камер)
+2. **WireGuard** через VPS (89.111.140.86:51821) — резервный канал + DNAT камер. **РАБОТАЕТ** после фикса 2026-04-21 (см. [decision](../decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md))
 
 MikroTik WireGuard к VPS **ОТКЛЮЧЁН** (ломал интернет, перехватывал default route). WG работает только на Orange Pi → VPS.
 
@@ -180,8 +180,8 @@ MikroTik WireGuard к VPS **ОТКЛЮЧЁН** (ломал интернет, п
 | FQDN | openwrt-ohothozyistvo.netbird.cloud |
 | LAN IP | 192.168.8.254 (DHCP от MikroTik) |
 | MAC | C0:74:2B:FC:32:20 |
-| Netbird IP | 100.70.63.67/16 |
+| Netbird IP | 100.70.106.227/16 (было 100.70.63.67, обновлено 2026-04-21) |
-| WG IP | 10.5.0.3/24 (wg0 → VPS) |
+| WG IP | 10.5.0.3/24 (wg0 → VPS :51821, РАБОТАЕТ с 2026-04-21) |
 | Disk | 29.2 GB (353 MB used, 1%) |
 | SSH | root / 1qaz!QAZ (Dropbear, нужен expect) |
 
@@ -200,10 +200,10 @@ MikroTik WireGuard к VPS **ОТКЛЮЧЁН** (ломал интернет, п
 |----------|---------|
 | Public Key | QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI= |
 | Peer | VPS (v95Qiu4diw2E...) |
-| Endpoint | 89.111.140.86:51820 |
+| Endpoint | 89.111.140.86:51821 (исправлено 2026-04-21 с :51820) |
 | Allowed IPs | 10.5.0.0/24 |
 | Keepalive | 25s |
-| Статус | **0 bytes received** — VPS слушает на :51821, OrangePi шлёт на :51820 — **ПОРТ НЕ СОВПАДАЕТ!** |
+| Статус | **РАБОТАЕТ** с 2026-04-21 — handshake идёт, DNAT камер доступен |
 
 ### Netbird
 
@@ -242,10 +242,10 @@ adblock, aria2, avahi, banip, collectd, dnsmasq, dockerd, dropbear, luci_statist
 | Пир | WG IP | Allowed IPs | Endpoint | Статус |
 |-----|-------|------------|----------|--------|
 | Знаменское 29 | 10.5.0.2 | 10.5.0.2/32, 192.168.88.0/24 | 193.39.160.146:35156 | **UP** ✓ |
-| Охотхозяйство (MikroTik) | 10.5.0.3 | 10.5.0.3/32, 192.168.8.0/24 | нет Endpoint | **DOWN** ✗ (MikroTik wg-vps disabled) |
+| Охотхозяйство (Orange Pi) | 10.5.0.3 | 10.5.0.3/32, 192.168.8.0/24 | 212.233.85.177:* (LTE NAT) | **UP** ✓ (с 2026-04-21, pubkey обновлён на QK2SMILE...) |
 | Знаменское Home (OpenWrt_3) | 10.5.0.4 | 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24 | 193.39.160.238:1514 | **UP** ✓ (4.37 TiB rx!) |
 
-**Важно:** Пир охотхозяйства НЕ имеет Endpoint в конфиге VPS — VPS не может сам инициировать подключение. Подключение должно приходить от MikroTik, но wg-vps на нём отключён. Реально WG идёт через Orange Pi (wg0), но Orange Pi шлёт на порт 51820, а VPS слушает на 51821 — **порт не совпадает, туннель не работает**.
+**Исправлено 2026-04-21:** на VPS было две проблемы — (1) порт на Orange Pi был 51820 вместо 51821, (2) PublicKey пира 10.5.0.3 на VPS был `zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8=` (старый, от MikroTik wg-vps), а Orange Pi шлёт от `QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI=`. Оба исправлено, туннель работает. Бэкап прежнего конфига VPS: `/etc/wireguard/wg0.conf.bak-20260421-1512`.
 
 ### DNAT правила (порты на 89.111.140.86)
 
@@ -338,21 +338,21 @@ adblock, aria2, avahi, banip, collectd, dnsmasq, dockerd, dropbear, luci_statist
 - Latency: ~75-210 ms
 - Orange Pi раздаёт маршрут 192.168.8.0/24 в Netbird
 
-### Канал 2: WireGuard VPS (для видеопотоков)
+### Канал 2: WireGuard VPS (резервный + видеопотоки)
 
 ```
 Интернет → VPS (89.111.140.86:8xxx)
                │ DNAT
                ▼
-          WG туннель (10.5.0.1 ↔ 10.5.0.3)
+          WG туннель (10.5.0.1 ↔ 10.5.0.3) :51821/udp
                │
                ▼
-          192.168.8.x (камеры/NVR)
+          192.168.8.x (камеры/NVR/MikroTik/OrangePi)
 ```
 
-- **СТАТУС: НЕ РАБОТАЕТ**
+- **СТАТУС: РАБОТАЕТ** (с 2026-04-21)
-- Причина: MikroTik wg-vps disabled, Orange Pi wg0 шлёт на порт 51820 (VPS слушает 51821)
+- Пример: `curl http://89.111.140.86:8180/` = NVR web, HTTP 200
-- Для восстановления нужно: исправить порт на Orange Pi (51820→51821) ИЛИ включить wg-vps на MikroTik
+- Использовать как backup Netbird. Если Netbird упал: `ssh -i ~/.ssh/vps_znam_key root@100.70.93.36` → дальше пинг/ssh в 192.168.8.0/24.
 
 ### Канал 3: Прямой доступ через VPS → WG → SSH
 
@@ -369,11 +369,8 @@ clawdbot (10.0.0.206)
 
 ## 6. Известные проблемы
 
-### WireGuard порт mismatch
+### ~~WireGuard порт mismatch~~ — РЕШЕНО 2026-04-21
-- Orange Pi wg0 endpoint: `89.111.140.86:51820`
+Было: Orange Pi слал на :51820, VPS слушал :51821 + pubkey пира на VPS не соответствовал Orange Pi. Решение см. [decision 2026-04-21](../decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md).
-- VPS wg0 ListenPort: `51821`
-- **Порты не совпадают!** Orange Pi шлёт пакеты на 51820, но VPS слушает на 51821
-- Несмотря на это, VPS показывает handshake от Знаменское 29 и Home — возможно NAT или iptables перенаправляет 51820→51821, или пиры шлют на правильный порт
 
 ### MikroTik WireGuard ломает интернет
 - wg-vps имеет default route с distance 2 — при включении может перехватить трафик
@@ -395,7 +392,7 @@ clawdbot (10.0.0.206)
 |-----------|-------|--------|--------|
 | MikroTik | admin | 1qaz!QAZ | REST API http://192.168.8.1/rest/, SSH, WebFig |
 | Orange Pi | root | 1qaz!QAZ | SSH (expect, Dropbear) |
-| VPS | root | — (ключ) | SSH с clawdbot: `ssh -i ~/.ssh/vps_znam_key root@100.70.93.36` |
+| VPS | root | — (ключ) | SSH с Mac: `ssh -i ~/.ssh/vps_znam_key root@100.70.93.36` (ключ RSA от sweb.ru «claude», заведён 2026-04-21). Старый `vps_znam_key` с clawdbot LXC 129 утрачен. |
 | NVR (.247) | — | — | Web http://192.168.8.247 |
 | Камеры | — | — | RTSP/SDK |
 | Знаменское 29 MikroTik | admin | admin01 | 192.168.88.1 |

decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md

@@ -1,11 +1,14 @@
 ---
 date: 2026-04-20
 type: decision
-tags: [decision, niikn, mmfb, network, wireguard]
+status: ОТКАЧЕНО
+tags: [decision, niikn, mmfb, network, wireguard, rollback]
 ---
 
 # 2026-04-20: Обход блокировки nspd.gov.ru в НИИКН через WG-туннель к LionART
 
+> **⚠️ СТАТУС: РЕШЕНИЕ ОТКАЧЕНО 2026-04-20 вечером.** После поднятия туннеля сотрудники НИИКН стали жаловаться на медленный интернет. Туннель удалён полностью с обеих сторон (НИИКН и LionART), OpenWrt DNS-override убран. Проблема NSPD остаётся открытой — искать другое решение. Описание ниже сохранено для референса: схема рабочая, но требует дополнительной диагностики что именно замедлило общий трафик (возможно MTU/фрагментация, перегрузка LionART, или случайное совпадение). См. задачу в spawn для вечерней работы.
+
 ## Проблема
 
 Сотрудники НИИКН не могут открыть `https://nspd.gov.ru/` (Национальная система пространственных данных Росреестра). Возвращается страница "Запрещено" с Rule `57615a88d1ec0120b56fdce6`, Client IP `85.235.181.190`.

decisions/2026-04-21-znamenskoye-ohothozyistvo-wg-backup-channel.md

@@ -0,0 +1,68 @@
+---
+date: 2026-04-21
+type: decision
+tags: [decision, network, wireguard, znamenskoye, ohothozyistvo, backup-channel]
+---
+
+# 2026-04-21: Восстановление резервного WG-канала для охотхозяйства
+
+## Контекст
+
+Объект «Знаменское Охотхозяйство» работает на LTE через MikroTik hAP ax lite LTE6 (CGNAT), единственный канал управления — Netbird через Orange Pi R1+ LTS (OpenWrt 21.02). Нужен резервный канал на случай деградации Netbird. Ранее пробовали WG на MikroTik — ломал интернет (default route hijacking через distance=2). Физического доступа к объекту нет.
+
+Существующий WG на Orange Pi (wg0 → VPS 89.111.140.86) числился в документации как «сломан из-за port mismatch», но на самом деле не работал по **двум** причинам:
+
+1. Orange Pi `wg0` endpoint port: `51820` — VPS слушает `51821`.
+2. VPS `/etc/wireguard/wg0.conf` пира `10.5.0.3` имел pubkey `zZ4UoWNwTxBODr8xZmoCREBL2zXJcmdcxKIPGp/xBC8=` (вероятно, старый ключ MikroTik-овского `wg-vps`), а Orange Pi шлёт от ключа `QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI=`.
+
+## Варианты
+
+1. Починить существующий WG на Orange Pi (минимум правок, WG не трогает default route на OpenWrt).
+2. Поднять AmneziaWG на Orange Pi по схеме НИИКН (требует OpenWrt 22.03+, Orange Pi на 21.02 — обновление sysupgrade без физдоступа = риск окирпичивания).
+3. Включить WG на MikroTik заново — известная проблема с default route, отпадает.
+
+## Решение
+
+**Вариант 1.** Починить WG на Orange Pi, оставить MikroTik `wg-vps` disabled.
+
+Изменения:
+- На Orange Pi: `uci set network.wg0_peer.endpoint_port='51821'` → `ifdown wg0 && ifup wg0`.
+- На VPS: `sed` в `/etc/wireguard/wg0.conf` (бэкап `.bak-20260421-1512`) — PublicKey пира `10.5.0.3` заменён на `QK2SMILE...`. Перечитано атомарно `wg syncconf wg0 <(wg-quick strip wg0)` — **другие пиры не затронуты** (10.5.0.4 Home 4.37 TiB трафика, 10.5.0.2 З-29).
+
+Проверено:
+- VPS ↔ Orange Pi (10.5.0.3): 0% loss, RTT ~40-107 мс
+- VPS ↔ MikroTik (192.168.8.1): 0% loss, RTT ~40 мс
+- VPS ↔ NVR (192.168.8.247): 0% loss
+- DNAT публичных портов: `http://89.111.140.86:8180/` (NVR Web) → HTTP 200 за 0.22s
+- Интернет на объекте не пострадал
+
+## Последствия
+
+### Что обновлено
+- [Документация охотхозяйства](../claude-memory/znamenskoye-ohothozyistvo.md) — актуализированы разделы 2, 3, 5, 6.
+- Netbird IP Orange Pi изменился: `100.70.63.67` → `100.70.106.227` (Connected P2P, не Relayed как писали ранее).
+
+### Новый ключ доступа к VPS
+SSH-ключ ранее был «на clawdbot LXC 129», но clawdbot больше нет (только LXC 137 openclaw). Заведён новый ключ:
+- Локальный файл: `~/.ssh/vps_znam_key` (RSA-2048, сгенерирован панелью sweb.ru)
+- Имя ключа в sweb.ru: `claude`
+- **TODO (Олег):** сохранить приватный ключ в Bitwarden `bit.dttb.ru` как `VPS znam (89.111.140.86)` — чтобы не потерять снова.
+
+### Резервные каналы объекта (после фикса)
+| # | Канал | Путь |
+|---|-------|------|
+| 1 (основной) | Netbird mesh | Mac → 100.70.106.227 → 192.168.8.0/24 |
+| 2 (резерв) | WG через VPS | Интернет → VPS → WG 10.5.0.1↔10.5.0.3 → 192.168.8.0/24 |
+
+DNAT камер/NVR через VPS 89.111.140.86:8xxx теперь реально работает (до фикса транспорт был мёртв).
+
+### Отложено (опционально)
+- Второй WG-peer на VPS `:443/udp` — защита от DPI LTE-оператора, если начнёт блокировать `:51821`.
+- `autossh` reverse tunnel с Orange Pi на VPS — третий канал на случай падения и Netbird, и WG.
+- Обновление Orange Pi до OpenWrt 24.10 + AWG по схеме НИИКН — отложено из-за отсутствия физдоступа.
+
+### Почему документация была неверной
+В старом `znamenskoye-ohothozyistvo.md` описан только port mismatch (51820 vs 51821) — но смена порта одна handshake не восстанавливает, т.к. pubkey пира на VPS тоже не соответствовал Orange Pi. Вероятный источник путаницы — пир на VPS создавался когда WG пытались поднять на MikroTik (свой keypair), потом переключили на Orange Pi (другой keypair) и на VPS ключ не обновили.
+
+## Теги
+`#znamenskoye` `#ohothozyistvo` `#wireguard` `#openwrt` `#backup-channel` `#vps` `#fix`

notes/claude/2026-04-20-115126-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,27 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T08:51:26.818Z
+messages: 32
+tools: [Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово.
+
+- Задача отправлена Максимке в беседу `aecax6yg` Nextcloud Talk (msg id 331). Описана проблема, что пробовали и откатили, гипотезы по замедлению, 5 вариантов для оценки. Явно сказано не лезть в production без согласования.
+- Доки приведены в соответствие с реальностью: [projects/mmfb/mikrotik.md](projects/mmfb/mikrotik.md) и [projects/niikn/mikrotik.md](projects/niikn/mikrotik.md) больше не описывают WG как активный — оба ссылаются на decision-doc со статусом ОТКАЧЕНО.
+- Decision [decis
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 32 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task*

notes/claude/2026-04-20-120445-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,28 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T09:04:45.826Z
+messages: 33
+tools: [Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Диагностика:
+- Gateway активен. Максимка работает.
+- В Telegram твой последний запрос 09:04 — Максимка ответил, но с задержкой ~14 сек из-за автофоллбека модели (`kr/claude-sonnet-4.5` → `zai/kr/...`, известный warning, не критично).
+- В **Talk** мои сообщения тебе не доходят: первое в группу `aecax6yg` дропнуто `groupPolicy=allowlist (admin не разрешён)`; второе в DM `6doo2fdg` бот вообще не получил — webhook на новый DM-room не зарегистрирован.
+
+Самый чистый фикс: добавить `admin` в `channels.
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 33 сообщ., тулы: Bash, Edit, Glob, Grep, Read, Write, mcp__ccd_session__spawn_task*

notes/claude/2026-04-20-121723-найди-информацию-по-настройке-openwrt-и-podcop-в-н.md

@@ -0,0 +1,23 @@
+---
+date: 2026-04-20
+type: claude-session
+session_id: 8cbbed5a-8ea1-4158-9678-2bb25ef1c852
+started: 2026-04-20T06:51:15.969Z
+ended: 2026-04-20T09:17:23.299Z
+messages: 34
+tools: [Bash, Edit, Glob, Grep, Read, ToolSearch, Write, mcp__ccd_session__spawn_task]
+tags: [claude, session]
+---
+
+# Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт http
+
+## Запрос
+
+Найди информацию по настройке OpenWRT и podcop в НИИКН Там блокируется сайт https://nspd.gov.ru/#top_section похоже он идет через впн и его блокируют можно проверить и принудительно пускать без впн
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Готово. Allowlist починен (`groupAllowFrom` нужен с префиксом `users/admin`), Максимка ответил на тестовое (id 342, 343) и теперь получил настоящую задачу `id 347`. Ответ должен прийти в основную беседу `aecax6yg` через минуту-две.
+
+---
+*Автосохранено из session [`8cbbed5a`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/8cbbed5a-8ea1-4158-9678-2bb25ef1c852.jsonl) — 34 сообщ., тулы: Bash, Edit, Glob, Grep, Read, ToolSearch, Write, mcp__ccd_session__spawn_task*

notes/claude/2026-04-21-121536-проверь-на-маке-не-работает-anydesk.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
+started: 2026-04-21T09:14:06.823Z
+ended: 2026-04-21T09:15:36.731Z
+messages: 2
+tools: [Bash]
+tags: [claude, session]
+---
+
+# проверь на маке не работает anydesk
+
+## Запрос
+
+проверь на маке не работает anydesk
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+AnyDesk запущен и подключён к relay (TCP *:7070 LISTEN + ESTABLISHED к relay-7c3ce2b1.net.anydesk.com:443). Сеть ок.
+
+Что именно не работает? Варианты:
+1. Не пускает на экран (macOS permissions — Screen Recording / Accessibility)
+2. Не подключается к твоему ID (входящие)
+3. Не можешь подключиться к другому хосту (исходящие)
+4. Чёрный экран при подключении
+
+Также замечу — в /Applications/ две копии: `AnyDesk.app` и `AnyDesk 2.app`. Старая копия могла держать привилегии TCC на себя. Уточни симптом
+
+---
+*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 2 сообщ., тулы: Bash*

notes/claude/2026-04-21-122546-проверь-на-маке-не-работает-anydesk.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
+started: 2026-04-21T09:14:06.823Z
+ended: 2026-04-21T09:25:46.198Z
+messages: 3
+tools: [Bash]
+tags: [claude, session]
+---
+
+# проверь на маке не работает anydesk
+
+## Запрос
+
+проверь на маке не работает anydesk
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+osascript prompt не сработал (возможно нужна фокусировка на UI). Запусти в терминале вручную одной командой (попросит пароль один раз):
+
+```bash
+sudo sh -c '
+launchctl unload /Library/LaunchDaemons/com.philandro.anydesk.service.plist 2>/dev/null
+launchctl unload /Library/LaunchDaemons/com.philandro.anydesk.Helper.plist 2>/dev/null
+pkill -9 -f AnyDesk
+rm -rf "/Applications/AnyDesk.app" "/Applications/AnyDesk 2.app" \
+       /etc/anydesk \
+       /Library/LaunchDaemons/com.philandro.anydesk.servic
+
+---
+*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 3 сообщ., тулы: Bash*

notes/claude/2026-04-21-132758-проверь-на-маке-не-работает-anydesk.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 50415f1b-7bc7-47ad-9c8b-0df874ed9eea
+started: 2026-04-21T09:14:06.823Z
+ended: 2026-04-21T10:27:58.046Z
+messages: 4
+tools: [Bash]
+tags: [claude, session]
+---
+
+# проверь на маке не работает anydesk
+
+## Запрос
+
+проверь на маке не работает anydesk
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Фоновый `find` нашёл ещё артефакты. Добавь к команде очистки (user-level, без sudo):
+
+```bash
+rm -f ~/Library/Preferences/com.philandro.anydesk.plist
+rm -f ~/Library/Application\ Support/CrashReporter/AnyDesk_*.plist
+```
+
+Запустить можно прямо сейчас, параллельно с основной командой.
+
+Записи в `~/Library/Parallels/.../AnyDesk/` — это ярлыки AnyDesk **изнутри Windows-VM в Parallels** (Parallels пробрасывает их в macOS-меню). К macOS-версии не относятся, трогать не нужно.
+
+Homebrew кэш (`anydesk.d
+
+---
+*Автосохранено из session [`50415f1b`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/50415f1b-7bc7-47ad-9c8b-0df874ed9eea.jsonl) — 4 сообщ., тулы: Bash*

notes/claude/2026-04-21-143957-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T11:39:57.084Z
+messages: 2
+tools: [Glob, Grep, Read]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Изучил топологию охотхозяйства. Ситуация ясна — у тебя уже есть зачатки резервного канала, просто сломанные.
+
+## Что уже есть
+
+**Основной (Netbird):** Orange Pi (100.70.63.67) раздаёт 192.168.8.0/24, работает через relay.
+
+**Недоделанный резерв (WG):** На Orange Pi `wg0` → VPS 89.111.140.86. Сломан по глупой причине — **port mismatch**: Orange Pi шлёт на `:51820`, VPS слушает `:51821`. VPS-пир охотхозяйства в `wg0` VPS существует, но без endpoint.
+
+**WG на MikroTik отключён** — правильно, там de
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 2 сообщ., тулы: Glob, Grep, Read*

notes/claude/2026-04-21-144604-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,34 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T11:46:04.566Z
+messages: 3
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Все доступные SSH-ключи перепробованы, к VPS не пускают. Без VPS дальше идти нельзя — там настроен WG-хаб, и пир Orange Pi на VPS не работает (скорее всего ключ на стороне VPS не прописан или другой).
+
+## Что сделано
+
+- Orange Pi порт wg0 исправлен: `51820 → 51821`
+- Интернет на объекте не пострадал, всё работает
+- Netbird по-прежнему работает (это и был основной канал)
+
+## Что выяснилось
+
+- Handshake wg0 **не устанавливается** даже с правильным портом (0 B received после 30 сек)
+- Значит на VPS
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 3 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

notes/claude/2026-04-21-150131-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,31 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T12:01:31.863Z
+messages: 4
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Ключ готов: `~/.ssh/vps_znam_key`
+
+**Pubkey для заливки** (выдели и сохрани):
+
+```
+ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIG1eAjglhAWl3kruslBd6AKs5mi0O70JOB6MFZHLWqwT mac-MacBookPro-20260421-vps_znam
+```
+
+Скажи какой из трёх вариантов у тебя есть — и действуем.
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 4 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

notes/claude/2026-04-21-150501-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,30 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T12:05:01.698Z
+messages: 5
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+BW CLI нет. Два пути — выбирай:
+
+**A. Быстрый (1 минута):** открой https://bit.dttb.ru сам, поищи запись по "89.111.140.86" / "swtest" / "znam" / "охотхозяйство VPS". Скинь сюда:
+- либо **пароль root**, 
+- либо **приватный ключ** (если сохранён как файл),
+- либо прямо скажи «нашёл, заливаю pubkey сам» — и просто добавь мою строчку в VPS через веб-консоль хостера
+
+**B. Правильный (10 минут):** поставлю `bw` CLI на Mac, залогинюсь твоим `client_id`/`client_secret` + master password, буду сам читат
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 5 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

notes/claude/2026-04-21-150916-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T12:09:16.155Z
+messages: 6
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Попробуй два варианта по очереди:
+
+**Вариант 1 (чистая ed25519, без комментария, одной строкой):**
+```
+ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIG1eAjglhAWl3kruslBd6AKs5mi0O70JOB6MFZHLWqwT
+```
+
+**Вариант 2 (RSA-4096 если ed25519 не хочет):**
+```
+ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDnFTW6eghA9XPab5nZILk9RSnqXUmluydFUVy0NYL34n0utJU+Jmd03QHuHMFIh062KrZvv0Fbg4/mStelpMwksNul9Zf98XSuulH7BU5Jk5coBZz48WWSo43Sao9e4kkiJEvq3IGAWUS0M/HxQvTtVEaJBKw8xOimozoXVSyIgqbdLc1ZXRJ+Mx0AQtyx8/o/V1J7MdM7VKogyBvVWjIV3MzFYfG
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 6 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

notes/claude/2026-04-21-151031-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,30 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T12:10:31.877Z
+messages: 7
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+Не воюй с валидатором. На скриншоте виден второй пункт — **«Сгенерировать ключи»**. Переключись на него. Панель сгенерит пару сама, даст скачать приватный ключ — а я его использую.
+
+Порядок:
+1. Выбери радио «**Сгенерировать ключи**»
+2. Имя ключа: `claude` (или любое)
+3. Нажми «Добавить ключ»
+4. Панель даст скачать **приватный** ключ (обычно `.txt` или `.pem`, имя типа `claude.key`)
+5. Скачай файл → скажи мне где он лежит (например `~/Downloads/claude.key`), я положу его в `~/.ssh/` и зайду на VP
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 7 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

notes/claude/2026-04-21-152001-охотхозяйство-с-openwrt-на-orange-pi-нужно-настрои.md

@@ -0,0 +1,32 @@
+---
+date: 2026-04-21
+type: claude-session
+session_id: 5af458f2-ce23-45f1-9710-19bb766c0d07
+started: 2026-04-21T11:37:09.813Z
+ended: 2026-04-21T12:20:01.077Z
+messages: 8
+tools: [Bash, Glob, Grep, Read, TodoWrite, ToolSearch]
+tags: [claude, session]
+---
+
+# охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если 
+
+## Запрос
+
+охотхозяйство с openWRT на Orange Pi нужно настроить дополнительный доступ если проблемы с netbird. найди решение и сделай резервный канал. Раньше на микротике делали wg но пропадала сеть из за конфликтов. Что передложишь? Может на openWRT?
+
+## Итог (последний ответ Claude, до 500 симв.)
+
+## Готово. Резервный канал работает
+
+**Что работает прямо сейчас:**
+- **Канал 1 (основной):** Netbird → Orange Pi `100.70.106.227` → LAN 192.168.8.0/24
+- **Канал 2 (резервный):** Интернет → VPS `89.111.140.86` → WG-туннель → LAN 192.168.8.0/24
+
+Проверено: NVR web отвечает HTTP 200 за 0.22s через публичный DNAT `89.111.140.86:8180`, handshake 4 сек назад, трафик идёт. Интернет на объекте не тронут.
+
+**Что пофиксили на самом деле — две ошибки**, а не одна:
+1. Orange Pi `wg0` endpoint port: `51820 
+
+---
+*Автосохранено из session [`5af458f2`](file:///Users/ai/.claude/projects/-Users-ai-knowledge-base/5af458f2-ce23-45f1-9710-19bb766c0d07.jsonl) — 8 сообщ., тулы: Bash, Glob, Grep, Read, TodoWrite, ToolSearch*

projects/mmfb/mikrotik.md

@@ -19,18 +19,4 @@ tags: [mmfb, lionart, network]
 
 ## WireGuard
 
-### wg-niikn — туннель для NSPD bypass
+Активных туннелей нет. 2026-04-20 поднимался временный `wg-niikn` (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
-- Listen port: 51820
-- IP: 10.99.99.1/30
-- Peer: NIIKN MikroTik (`192.168.1.1`), allowed-address=10.99.99.2/32
-- Public key: `YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=`
-- Назначение: проксирует трафик клиентов НИИКН на nspd.gov.ru (`2.63.246.0/24`) через свой WAN, минуя заблокированный IP МТС у НИИКН.
-- Подробности: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md)
-
-## Firewall (важное)
-Дефолтный forward chain пропускает только LAN (`10.253.1.0/24`). Для трафика из WG-туннеля в WAN добавлены явные accept-правила:
-```
-chain=forward action=accept in-interface=wg-niikn out-interface-list=WAN  # NIIKN→WAN
-chain=forward action=accept in-interface-list=WAN out-interface=wg-niikn connection-state=established,related  # ответы
-chain=input action=accept protocol=udp dst-port=51820 in-interface-list=WAN  # WG handshake
-```

projects/niikn/mikrotik.md

@@ -30,19 +30,11 @@ Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(2111
 
 Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
 
-## WG-туннель к LionART (для НСПД)
+## WG-туннель к LionART (NSPD bypass) — ОТКАЧЕНО
 
-Подсеть НСПД (`2.63.246.0/24`) маршрутизируется через MikroTik LionART (`195.26.30.163`), потому что публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) внесён в blacklist WAF НСПД. Подробности и ключи — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
+Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) заблокирован WAF Росреестра → `nspd.gov.ru` отдаёт Forbidden. 2026-04-20 поднимали WG-туннель `wg-lionart` к MikroTik LionART (маршрут `2.63.246.0/24` через туннель). Технически работало, но общий трафик НИИКН замедлился → откатили вечером того же дня.
 
-```
+Сейчас на роутере НИИКН WG-интерфейсов нет. Поиск стабильного решения — задача поставлена Максимке. Полная история, ключи и rollback-команды: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
-/interface/wireguard add name=wg-lionart listen-port=51821 mtu=1420
-/ip address add address=10.99.99.2/30 interface=wg-lionart
-/ip route add dst-address=2.63.246.0/24 gateway=10.99.99.1 comment="NSPD via LionART"
-/ip firewall nat add chain=srcnat action=masquerade out-interface=wg-lionart \
-    comment="masq NSPD via LionART WG"
-```
-
-Peer endpoint: `195.26.30.163:51820`. **Masquerade на wg-lionart обязателен** — без него обратные пакеты не проходят conntrack на LionART.
 
 ## DHCP