---
date: 2026-04-16
updated: 2026-05-27
type: project
status: offline
tags: [object, openwrt, netbird, unifi, podkop, peredelki]
aliases: [Peredelki, Переделки, OpenWrt_Peredelki, peredelki, "Переделкино"]
---

# Переделки — OpenWrt + UniFi за NetBird

Объект на 192.168.2.0/24 с маршрутизатором на OpenWrt и UniFi-сегментом (Switch + 3 AP). Назначения два: **обход блокировок через podkop** и **точки доступа Ubiquiti**, контроллер для которых живёт удалённо на LXC 116 в НИИКН и связан с объектом через NetBird-мост.

> ⚠️ **На 2026-05-27 объект полностью оффлайн.** NetBird-пир `openwrt-peredelki` не подключается с **2026-05-08T10:56 UTC** (19+ дней). Причина не выяснена — питание/WAN/агент/железо. Подробнее в разделе «История».

## Контакт

| | |
|---|---|
| Клиент | TODO — уточнить у Олега |
| Локация | Переделки (Москва, по NetBird geo: 55.75/37.62) |
| Группа NetBird | `Glavtorg` (исторически; ACL-группа Главторга) |

## Роутер

| Параметр | Значение |
|---|---|
| Модель | OpenWrt-роутер (модель не зафиксирована, скорее всего Cudy TR3000 как в Бенелюксе/Красногорске) |
| Hostname | `OpenWrt_Peredelki` |
| OpenWrt | 24.10.3, kernel 6.6.104 |
| NetBird IP | `100.70.197.125` (`openwrt-peredelki.netbird.cloud`, peer `d7fug7rl0ubs73b5r36g`, агент 0.59.13, группы `All`, `Glavtorg`) |
| WAN | последний connection_ip `193.39.160.231` (RU, Moscow) |
| LAN | `192.168.2.0/24` на `br-lan` (изначально было `192.168.1.0/24`, мигрировали 2026-04-16 из-за конфликта с НИИКН) |
| DNS-override | `unifi → 192.168.2.1` (uci dhcp.@domain) — auto-discovery для UniFi AP после factory reset |
| SSH | root / `1qaz!QAZ` (на момент last seen — паролем; статус key-auth неизвестен, см. [[credentials]]) |

## Что работает в сети

### На OpenWrt
- **podkop** + sing-box + AmneziaWG (`awg0`) + VLESS-proxy `202.71.12.186`:
  - Списки: `russia_inside`, `meta`, `telegram`
  - DoH: `8.8.8.8`, FakeIP включён, QUIC отключён (`disable_quic=1`)
  - **Фикс конфликта nft mangle** с NetBird: chain `PodkopTable.mangle` сдвинут на priority `-140` (вместо штатного `-150`). См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
  - **Guard** от регрессии после `opkg upgrade podkop`: `/usr/sbin/podkop-prio-guard` в crontab `*/2` + `(sleep 30 && ...)` в `/etc/rc.local`. Лог: `logread | grep podkop-prio-guard`.
  - Авто-старт sing-box: `/etc/init.d/sing-box enable`, `shutdown_correctly=1`
- **NetBird** для удалённого доступа (`100.70.197.125`)
- **Socat-proxy** для UniFi-устройств → контроллер в НИИКН (persistent через `/etc/init.d/unifi-proxy`):
  - TCP 8080 → `100.70.138.234:8080` (inform)
  - TCP 8443 → `100.70.138.234:8443` (web UI)
  - UDP 3478 → `100.70.138.234:3478` (STUN)
  > Почему socat, а не DNAT: DNAT через NetBird ломал inform-пакеты (MTU 1280 vs 1500, «Content too short / Bad packet magic»). Решено через application-level forwarding.
- **NAT в LAN** для трафика контроллер→устройства: `iifname wt0 oifname br-lan masquerade` (init script) + `firewall.netbird.masq=1`

### NetBird route
- `192.168.2.0/24` → peer `openwrt-peredelki` (route id `d7giigifadhs73djobr0`, network_id `Peredelki`, masquerade=true, metric 9999, группа `All`)
- Цель: позволяет UniFi-контроллеру SSH к устройствам Переделок для provisioning

### UniFi-сегмент за OpenWrt
Контроллер — **LXC 116 на pve-niikn** (`unifi-controller`, IP в LAN НИИКН `192.168.1.84`, NetBird `100.70.138.234`), Docker `ghcr.io/linuxserver/unifi-network-application:latest` + MongoDB с bind-mount `/opt/unifi/config:/config` (без этого база сбрасывалась при рестарте — anonymous volume). Admin: SSO `batlaew@yandex.ru` через UI.com. Сайт: `default`.

Adopted-устройства в базе контроллера на 2026-05-27 (`db.device.find`):

| IP | MAC | Модель | FW | adopted |
|---|---|---|---|---|
| `192.168.2.109` | `d8:b3:70:84:0f:05` | USW-Lite-16-PoE (`USL16LPB`) | 7.2.123 | ✓ |
| `192.168.2.146` | `1c:0b:8b:70:de:1e` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.227` | `1c:0b:8b:70:e2:41` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.178` | `a8:9c:6c:d2:d9:0b` | U6 Pro (`UAPA6B3`) | 8.0.35 | ✓ |

> Live-status (state/last_seen) на момент проверки получить не удалось — устройства не присылают inform с 2026-05-08 (OpenWrt оффлайн, socat-proxy не работает). В логах `/config/logs/server.log*` за последние 5 дней — ни одного события от MAC-ов Переделок, только «not found in devbasic cache» после рестарта контроллера 2026-05-26.

### WiFi
- SSID: `Ubnt`, WPA2, пароль: `1234567a` (см. [[credentials]])

### SSH к UniFi-устройствам
Учётка для managed devices: `batlaew / 20iPUHpzpMXnp9Rx` (после factory reset — `ubnt / ubnt`).

## Конфликт подсетей

`192.168.2.0/24` пересекается с **Красногорском** ([[../krasnogorsk/README]], Cudy TR3000 за Deco P9, NetBird `100.70.152.137`). Конфликт только на mesh-уровне (если оба пира одновременно анонсируют /24) — на текущий момент анонсирует только Переделки (`Peredelki`, metric 9999). При работе через NetBird к хостам Переделок ходи по NetBird-IP пира (`100.70.197.125`), не по LAN-IP.

Параллельно с `192.168.2.0/24` в NetBird mesh присутствуют:
- `192.168.1.0/24` от pve-niikn (НИИКН) и nbgw-glavtorg (Главторг)
- `192.168.1.0/24` от Бенелюкса (без анонса — конфликт раньше был, см. [[../../decisions/2026-05-20-benelux-compromise#netbird-route-—-niikn-остаётся-в-mesh]])

## История

- **2026-04-15** — пир OpenWrt_Peredelki создан в NetBird (`d7fug7rl0ubs73b5r36g`)
- **2026-04-16** — миграция UniFi-контроллера с **Orange Pi (Мичуринец, 192.168.1.10)** на LXC 116 НИИКН; LAN объекта сменён `192.168.1.0/24 → 192.168.2.0/24`; adopted Switch + U7-IW после factory-reset; socat-proxy и NetBird route собраны. См. [[../../decisions/2026-04-16-unifi-migration-peredelki]].
- **2026-04-17** — `podkop` не работал (FakeIP резолвится, но TCP в `SYN_SENT`); корневая причина — конфликт chain priority с NetBird на hook `prerouting priority mangle (-150)`. Подняли priority Podkop'а до `-140`, поставили guard. См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
- **2026-04-17** — добавлен DNS-override `unifi → 192.168.2.1` для авто-discovery; новая точка `1c:0b:8b:70:e2:41` (192.168.2.227) — pending adoption.
- **2026-05-08T10:56 UTC** — **пир ушёл в offline.** Причина не выяснена. UniFi-устройства Переделок тоже перестали слать inform на контроллер (логично — socat-proxy умер вместе с роутером).
- **2026-05-27** — попытка диагностики удалённо: ICMP по NetBird = 100% loss; `connected=false` в NetBird API; UniFi-устройства в Mongo — adopted, но в логах ни одного inform за последние 4 дня.

## Что проверить / починить

- [ ] **Связаться с клиентом / выехать** — узнать включён ли роутер, есть ли WAN на объекте. Это самый частый кейс при таком long-tail offline.
- [ ] После возврата — проверить настроен ли SSH key-auth (после инцидента Бенелюкса в [[../../decisions/2026-05-20-benelux-compromise]] — `1qaz!QAZ` на роутере с WAN-доступом критично опасен; если на Переделках dropbear выходит на WAN — закрыть).
- [ ] Проверить актуальность group `Glavtorg` для этого пира — историческая или нужна (ACL).
- [ ] Прошить актуальный sysupgrade (24.10.x → ...) когда вернётся в строй.
- [ ] U6 LR и U6+ — в 2026-04-16 был TODO «подключить когда запитаются». В текущей базе их нет, только U7-IW и UAPA6B3. Возможно демонтированы или никогда не подключены.

## Aliases для FTS

`Переделки`, `Peredelki`, `OpenWrt_Peredelki`, `openwrt-peredelki`, `100.70.197.125`, `192.168.2.0/24`, `Peredelki LAN`, `d7fug7rl0ubs73b5r36g`.