---
date: 2026-06-27
type: decision
tags: [benelux, podkop, fakeip, user_domains, geoblock, sanctions, bnp, edf, vodafone, emiratesnbd]
status: done
---

# Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)

## Жалоба
Александр (КП Бенелюкс, Истра — **объект в РФ**): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: `m.vodafone.es`, `connexion-mabanque.bnpparibas`, `auth.entreprises-collectivites.edf.fr`, `online.emiratesnbd.com`.

## Диагноз
Эти домены **не входили ни в один список podkop** (`russia_inside`,`telegram`,`meta`) → резолвились реально → шли **напрямую через российский WAN-IP** `45.143.21.60` («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).

Это **зеркало** типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис **остался вне туннеля** и выходит российским IP.

## Находка
EXIT туннеля `202.71.12.186` (awg0/VLESS) по ip-api = **Finland / Helsinki / Hostkey B.V.**, а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены ([[../claude-memory/benelux]], [[../snippets/podkop-reference]]).

## Фикс (устойчивый — `user_domains`, не dnsmasq-override)
```sh
cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
  uci add_list podkop.main.user_domains="$d"
done
uci commit podkop && /etc/init.d/podkop restart
killall -HUP dnsmasq
```
`user_domain_list_type=dynamic` уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).

## Проверка (через финский выход, EU-резолв + браузерные заголовки)
| Сайт | российский IP | EU-выход |
|---|---|---|
| vodafone.es | 200 | **200** ✅ |
| emiratesnbd.com | 403 | **200** ✅ |
| edf.fr | 503 | **404** (приложение отвечает; голый `/` без query → 404, реальный auth-URL откроется) ✅ |
| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = **не гео**); в браузере с JS/cookies проходит |

Контроль: домены → FakeIP `198.18.x`; `youtube` остался в туннеле; `ozon` напрямую (РФ не сломан).

## Грабли по ходу (на будущее)
- **curl с самого роутера НЕ показатель выхода**: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN). `curl https://api.ipify.org` с роутера вернул российский IP даже после добавления в список. Честный egress-тест: `curl --interface awg0 https://api.ipify.org` (домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход = `202.71.12.186` Финляндия).
- Домен **в списке** + `curl --interface awg0` без `--resolve` → системный DNS даёт FakeIP `198.18.x` → curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через `--resolve`.

## Клиенту (Александр)
Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).

## TODO (если BNP всё же капризничает)
Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в `user_domains`.

См. [[../snippets/podkop-reference]] §6 (user_domains), [[../claude-memory/benelux]], [[2026-06-26-benelux-podkop-recovery-watchdog]].