---
name: NIIKN VPN Finland VPS
description: VPS 78.17.4.225 (Finland AdminVPS, НЕ Spaceweb) — VPN-хаб НИИКН. 2026-06-29 простой за неоплату→восстановлен (отсрочка 7д); мониторинг+self-heal настроены; мигрируем на HOSTKEY 151.241.234.241.
type: project
originSessionId: 8c23ee07-26c7-4c9d-b7cc-8fd9d2b3c266
---
## VPS 78.17.4.225 (Finland AdminVPS) — восстановлен 2026-06-29 (был DOWN из-за неоплаты)

## Мониторинг и самовосстановление (настроено 2026-06-29)
- **Контейнерный self-heal (на хабе):** все критичные контейнеры `restart: always` + `watchtower` → при снятии блокировки/ребуте VM поднимаются сами.
- **Внешний сторож:** `/root/finland-hub-watchdog.sh` на **openclaw LXC 137**, cron `*/5`. Проверяет хаб `78.17.4.225` снаружи (ICMP + TCP 443/9443). Если оба порта молчат → алерт «хаб лёг (возможно неоплата AdminVPS)». **Только алерт** (коробка провайдерская, удалённо не поднять). Канал: TG Олегу (1292155421) + email support@dttb.ru через `/root/.wd-mail.env`; дедуп (раз в час) + «отбой». Образец — `antoshka-watch-self.sh`. Копия: [[../snippets/finland-hub-watchdog]]. NB: SSH:22 хаба для LXC137 закрыт (только Mac-IP) → глубокую проверку handshake оттуда не делаем.
- **Self-heal обхода НИИКН (OpenWrt 192.168.1.50) — сделано 2026-06-29:** netns-проба с позиции клиента + heal (restart podkop+cache+dnsmasq) + cron */5 с гистерезисом + boot-self-heal (rc.local). Зависимость `ip-full`+`kmod-veth`. Внешний сторож-алертер на LXC137 (cron */5, heal→reboot эскалация, TG+email).
- **Truly-external бэкап — сделано 2026-06-29:** `/root/hub-backup-watchdog.sh` на HOSTKEY 151.241.234.241 (другой провайдер) — независимо следит за хабом + dead-man's switch (живость дома через git.dttb.ru), TG напрямую.
- Все скрипты и схема: [[../snippets/niikn-podkop/README]].


> 2026-06-29: весь Docker-стек не слушает порты (22/443/9443/1080/39202 → refused), панель vpn.niikn.com недоступна, AmneziaWG handshake мёртв → лёг весь обход НИИКН (Claude/TG/WA/instagram). ICMP отвечает 18мс, ХОТЯ в норме на этом VPS ICMP закрыт → значит отвечает шлюз провайдера за остановленную VM. SSH:22 refused и с Мака, и с openclaw → удалённо не поднять. Фикс: vps.sweb.ru (it5870yand) → старт/ребут VM, проверить автозапуск docker.

## VPS 78.17.4.225 — норма (когда работает)

- Hostname: finlandit5870.com
- Ubuntu 22.04, 3.8GB RAM, 30GB disk (42% used)
- SSH: root / vb8Se9VMdwh1P692PZ (обновлён 2026-04-13)
- Доступ через: LXC 137 (openclaw, 10.0.0.239) с SSH-ключом
- ICMP заблокирован (ping не работает, но это нормально)

### Сервисы (Docker)

| Контейнер | Образ/стек | Порт | Назначение |
|-----------|-----------|------|------------|
| tg-mtproto | nineseconds/mtg:2 | 443 (через HAProxy SNI google.com) | Telegram MTProto proxy |
| vpn-wa-proxy | wa-proxy (build) | 443 (default backend), 7777, 5222, 587 | WhatsApp proxy |
| vpn-tg-socks5 | serjs/go-socks5-proxy | 1080 | Telegram SOCKS5 (tgproxy / Tg2026niikn) |
| vpn-nginx | nginx:alpine | 80, 9080 | Фронтенд + vpn.niikn.com панель (восстановлен 2026-04-13) |
| amnezia-xray | — | 127.0.0.1:9443 | VLESS Reality (SNI: www.googletagmanager.com) |
| amnezia-awg2 | — | 39202/udp | AmneziaWG туннель |
| amnezia-panel-web | amneziavpnphp_web | 127.0.0.1:8082 | AmneziaVPN панель |
| amnezia-panel-db | — | 127.0.0.1:3307 | MySQL для панели |

### HAProxy SNI роутинг (порт 443)
- `www.googletagmanager.com` → VLESS Xray (127.0.0.1:9443)
- `vpn.niikn.com` → Nginx панель (127.0.0.1:9080)
- `google.com` → MTProto (127.0.0.1:9077)
- default → WhatsApp proxy (127.0.0.1:4443)

### MTProto secret
- `eed34aaf897745b3cc46b14feed43571f5676f6f676c652e636f6d`

### Compose файлы
- /opt/vpn-stack/docker-compose.yml (wa-proxy, tg-socks5, nginx)
- /opt/amneziavpnphp/docker-compose.yml (панель)

### OpenWrt 192.168.1.50 (VM 101, Proxmox НИИКН)
- AmneziaWG туннель (awg0) → 78.17.4.225:39202
- Клиент IP в туннеле: **10.8.1.16/32** (обновлено 2026-04-14)
- Приватный ключ: 41XMQFlPlq6FU4EBhqjayPvcDQJU+c+WQjabqs3ILbI=
- Peer public key: cftJxWuBCyz9ZiLDi23ouMQNAky5aTAUZIRHNS6l7mc=
- Podkop v0.7.14 + sing-box через awg0
- Списки обхода: russia_inside, telegram, meta (Instagram, WhatsApp, Facebook)
- MikroTik маршрут: 198.18.0.0/15 → 192.168.1.50 (podkop-fakeip)
- **КРИТИЧНО:** awg0 должен быть в firewall WAN зоне!
- Документация: [openwrt-bypass.md](/root/.claude/knowledge-base/projects/niikn/openwrt-bypass.md)

### Статус (2026-04-14)
- ✅ Туннель работает: handshake актуален, transfer активен
- ✅ WhatsApp/Instagram/Facebook через обход
- ✅ Telegram через обход
- ✅ FakeIP DNS работает (198.18.0.0/15)
- ✅ Firewall настроен корректно