--- date: 2026-05-06 updated: 2026-05-20 type: project status: active tags: [object, openwrt, netbird, client, istra, podkop, residential] aliases: [Benilux, benilux, Бенелюкс, "OpenWrt Benilux"] --- # Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра) Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; **назначение — обход блокировок через podkop**. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP. ## Контакт | | | |---|---| | Клиент | Александр | | Локация | КП Бенелюкс, Истра | ## Роутер | Параметр | Значение | |---|---| | Модель | Cudy TR3000 v1 (MediaTek Filogic, aarch64) | | Hostname | `Benelux` | | OpenWrt | 24.10.3 | | NetBird IP | `100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`) | | WAN | eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60` | | LAN | `192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже) | | SSH | **по ключу** `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в [[credentials]]) | ## Что работает в сети **Cudy = только шлюз/podkop + DHCP + NetBird-bridge.** Wi-Fi и доступ к LAN — через систему Unifi за ним. ### На Cudy - **podkop v0.7.14** + sing-box 1.12.22 — обход блокировок: - Main: VPN через `awg0` (AmneziaWG), списки `russia_inside` + `telegram` + `meta` (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP) - Vless: VLESS-Singapore (`202.71.12.186:443`, Reality) - DNS: DoH (`https://common.dot.dns.yandex.net/dns-query`), bootstrap 77.88.8.8 - FakeIP: `198.18.0.0/15`, QUIC отключён - Clash API: `192.168.1.1:9090` - **NetBird** для удалённого доступа (`100.70.207.97`) - **DHCP** `192.168.1.2 — 192.168.1.254` (leasetime 12h) - **Принтер HP M775**: проброшен через DNAT с NetBird-IP (`https://100.70.207.97:8148` → `192.168.1.148:443`) ### Unifi-сегмент за Cudy В LAN — Unifi AP/Switch (3 устройства c MAC `70:a7:41:*`): | IP | MAC | Hostname | Состояние | |---|---|---|---| | `192.168.1.199` | `70:a7:41:79:ef:29` | `Benelyuks` | активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже) | | `192.168.1.192` | `70:a7:41:9a:9e:92` | — | тихо | | `192.168.1.101` | `70:a7:41:c1:33:0a` | — | тихо | **К какому контроллеру они adopted — пока не выяснено.** Точные факты по состоянию на 2026-05-20: - К общему LXC 116 на pve-niikn (`100.70.138.234 unifi-controller.netbird.cloud`) inform-трафика **нет** - К UDM-Pro Знаменского inform-трафика **нет** - На Cudy нет ни `unifi-proxy` (socat), ни DNS-override `unifi → …`, ни DNAT для 8080/8443/3478 - Устройство `192.168.1.199` шлёт TCP SYN на `192.168.28.34:8381` (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа - Hostname `Benelyuks` у одного из устройств — значит когда-то было adopted (имя задаётся при provision) Возможные гипотезы: 1. AP/Switch — наследие старого setup, контроллер которого больше недоступен 2. Был отдельный standalone-контроллер где-то в LAN, сейчас не работает 3. `192.168.28.34` — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация > **TODO**: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж. ### Известные клиенты в LAN - Samsung S23 «пользователя Нина» (192.168.1.128) - MacBook «Mac» (192.168.1.231) - Cisco IP-телефон `SEP00235EB76EBE` (192.168.1.216) - HP принтер `NPI0EC3A9` (192.168.1.152) - HP M775 (192.168.1.148, через DNAT для удалённой печати) - ~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.) Полные конфиги Cudy: [[claude-memory/benelux]] и [[claude-memory/benelux-topology]]. ## Конфликт подсетей `192.168.1.0/24` в Бенелюксе пересекается с: - LAN UDM-Pro Знаменского (`192.168.1.0/24`) - pve-niikn (анонсирует `192.168.1.0/24` в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс) При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP. ## История инцидентов - **2026-05-20** — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. [[decisions/2026-05-20-benelux-compromise]]. ## Планы / концепции - [[wifi-segmentation-concept]] — сегментация Wi-Fi на хозяев / персонал / гостей (UniFi VLAN + firewall на Cudy). Черновик 2026-06-01, внедрение отложено. ## Aliases для FTS `Benilux`, `Бенелюкс`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benelux`, `КП Бенелюкс`, `Александр Бенелюкс`.