---
date: 2026-04-20
type: project
tags: [mmfb, lionart, network]
---

# MikroTik LionART (10.253.1.1, hydropark)

## Доступ
- **LAN IP:** 10.253.1.1/24 (bridge1)
- **Login:** AI / OL260380eg
- **Identity:** hydropark
- **Модель:** hAP ac³, RouterOS 7.16.2 stable

## Сеть
- **WAN:** ether1-gw-telekom, публичный IP **195.26.30.163/27**, gateway 195.26.30.161 (Telekom)
- **LAN:** bridge1, 10.253.1.0/24
- **NAT:** masquerade на out-interface=ether1-gw-telekom (WAN)

## WireGuard

Активных туннелей нет. 2026-04-20 поднимался временный `wg-niikn` (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).

## Локдаун периметра (2026-06-29, инцидент с атакой на 1С)
После brute-force на 1С-порты ([decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce](../../decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce.md)) закрыт весь лишний доступ из интернета. Всё помечено `incident-20260629`, `disabled` (обратимо одной командой).

**Что было выставлено наружу (`195.26.30.163`) и хост:**
- `.10` `KOMPUTER` (Gigabyte ПК) — 3389 RDP; `.240` 1С — 1540/1541/1560-1591; `.25` `NPM` — 80/443/**81**(админка); `.40` `agentdvr` — **1723 PPTP**; `.49` `WG` — 22/**40235udp**(WireGuard); `.205` `ovpn` — 2222/**1174udp**(OpenVPN); `.200` Proxmox — 8006; `.245` — 8007.

**Закрыто (NAT dstnat `disabled`):** 3389, 22→.49, 2222→.205, 8006, **81 (было ДВА правила-дубля — гасить `disable [find chain=dstnat dst-port=81]`)**, 1723, 8007.
**Оставлено:** 80/443 (сайты NPM), 40235udp (WG), 1174udp (OpenVPN), 1С-порты (за forward-whitelist только frame.ru `92.53.96.188`).

**Сам роутер закрыт от WAN:**
- `/ip service` ssh(22)/winbox(7777)/www(80) → `address=10.253.1.0/24,100.70.0.0/16` (только LAN+NetBird).
- input drop winbox: `chain=input drop protocol=tcp dst-address=195.26.30.163 dst-port=7777,8291`.
- ⚠️ **Грабля:** filter-правила по `in-interface=ether1-gw-telekom` (без порта) молча становятся **`invalid`** на этом роутере. Рабочий матч — по **`dst-address=<публичный IP>`** + порт (как NAT-правила).
- Проверять закрытие **с чистого внешнего хоста** (Антошка `pct exec 137`), НЕ с Mac — Mac через NetBird/split-DNS даёт ложные «открыто» (ходит на домашний NPM).

Управление всем (роутер/Proxmox/ПК/серверы MMFB) теперь — **только через NetBird-VPN**.