---
date: 2026-04-20
type: project
tags: [mmfb, lionart, network]
---

# MikroTik LionART (10.253.1.1, hydropark)

## Доступ
- **LAN IP:** 10.253.1.1/24 (bridge1)
- **Login:** AI / OL260380eg
- **Identity:** hydropark
- **Модель:** hAP ac³, RouterOS 7.16.2 stable

## Сеть
- **WAN:** ether1-gw-telekom, публичный IP **195.26.30.163/27**, gateway 195.26.30.161 (Telekom)
- **LAN:** bridge1, 10.253.1.0/24
- **NAT:** masquerade на out-interface=ether1-gw-telekom (WAN)

## WireGuard

### wg-niikn — туннель для NSPD bypass
- Listen port: 51820
- IP: 10.99.99.1/30
- Peer: NIIKN MikroTik (`192.168.1.1`), allowed-address=10.99.99.2/32
- Public key: `YuI6lQ1f1bF37x5dwa/JQuW30x4McO2//cl/mEWg4mE=`
- Назначение: проксирует трафик клиентов НИИКН на nspd.gov.ru (`2.63.246.0/24`) через свой WAN, минуя заблокированный IP МТС у НИИКН.
- Подробности: [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md)

## Firewall (важное)
Дефолтный forward chain пропускает только LAN (`10.253.1.0/24`). Для трафика из WG-туннеля в WAN добавлены явные accept-правила:
```
chain=forward action=accept in-interface=wg-niikn out-interface-list=WAN  # NIIKN→WAN
chain=forward action=accept in-interface-list=WAN out-interface=wg-niikn connection-state=established,related  # ответы
chain=input action=accept protocol=udp dst-port=51820 in-interface-list=WAN  # WG handshake
```