---
date: 2026-04-28
type: decision
tags: [decision, niikn, network, dns, podkop]
---

# 2026-04-28: Открыть uookn.sev.gov.ru из НИИКН (DNS override)

## Проблема

Сотрудники НИИКН жалуются — не открывается `https://uookn.sev.gov.ru/` (Управление по охране объектов культурного наследия Севастополя, на Bitrix).

## Диагноз

По алгоритму [[notes/govru-diagnosis]]:

| Точка | HTTP | Real IP |
|-------|------|---------|
| Mac (Ростелеком Истра) | 200 | 213.59.161.38 |
| pve-LionART (чистый WAN) | 200 | 213.59.161.38 |
| pve-niikn vmbr0 (МТС B2B) | 200 | 213.59.161.38 |
| OpenWrt 192.168.1.50 (DNS клиентов НИИКН) | — | **198.18.1.123 (FakeIP)** |

Оба WAN отдают сайт. МТС не блочит. **Причина** — `sev.gov.ru` подпадает под podkop community-list (вероятно `russia_outside`), DNS подменяется FakeIP, трафик уходит в awg0 Финляндию и не возвращается. Тот же паттерн, что `zakupki.gov.ru`.

## Решение

OpenWrt `192.168.1.50` — добавлен root-домен в dnsmasq `server=`:

```bash
ssh root@192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/sev.gov.ru/8.8.8.8'
uci commit dhcp
/etc/init.d/dnsmasq restart
```

NetBird route **НЕ требуется** (в отличие от nspd).

## Проверка

```
DNS 192.168.1.50:    uookn.sev.gov.ru → 213.59.161.38
МТС vmbr0 + curl:    HTTP 200, 216 KB
OpenWrt curl:        HTTP 200, 216 KB
```

Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.

## Текущий список dnsmasq override на 192.168.1.50

```
'127.0.0.42'                 # podkop sing-box
'/nspd.gov.ru/8.8.8.8'       # + NetBird route 2.63.246.0/24
'/zakupki.gov.ru/8.8.8.8'    # только DNS
'/sev.gov.ru/8.8.8.8'        # только DNS — добавлено сегодня
```