# Проект Бенелюкс — OpenWrt роутер > **2026-05-20 СЕКЬЮРИТИ-ИНЦИДЕНТ.** Роутер был скомпрометирован через WAN-SSH brute-force. Подробности и список изменений: [[decisions/2026-05-20-benelux-compromise]]. Пароль root сменён (новый — в auto-memory), вход теперь только по mac-ed25519 ключу. ## Устройство - Cudy TR3000 v1, OpenWrt 24.10.3 (MediaTek Filogic, aarch64) - Hostname: Benelux - SSH: только по ключу `~/.ssh/id_ed25519` (старый пароль `1qaz!QAZ` скомпрометирован, новый в auto-memory) - SSH на WAN заблокирован nft-правилом из `/etc/nftables.d/99-incident-20260520.nft` - Netbird VPN: 100.70.207.97 (wt0) - WAN: eth0, DHCP от 10.0.0.1 (получает 10.0.0.190) - LAN: br-lan, 192.168.1.1/24 - Wi-Fi: 2.4G (phy0-ap0) + 5G (phy1-ap0), оба в br-lan ## DHCP - Диапазон: 192.168.1.2 — 192.168.1.254 (253 адреса, расширен) - Leasetime: 12h ## VPN / Подкоп (Podkop v0.7.14) - sing-box 1.12.22, статус: running - Секция main: VPN через awg0 (AmneziaWG), список russia_inside - Секция Vless: прокси VLESS-Singapore (202.71.12.186:443, Reality) - DNS: DoH (https://common.dot.dns.yandex.net/dns-query), bootstrap: 77.88.8.8 - ВАЖНО: DNS переключён с UDP на DoH, т.к. домашний роутер (10.0.0.1) перехватывает порт 53 и имеет свой подкоп — двойная обработка вызывала context deadline exceeded - FakeIP: 198.18.0.0/15, работает - QUIC: отключён - Clash API: 192.168.1.1:9090 - source_network_interfaces: br-lan ## AmneziaWG (awg0) - IP: 10.8.1.60/32 - DNS: 1.1.1.1, 1.0.0.1 ## Firewall - wt0 (Netbird) добавлен в зону lan - Masquerade на wan (eth0) - PodkopTable в nftables — маркировка 0x00100000 ## DNAT / Netbird правила - Принтер HP M775 (192.168.1.148): `https://100.70.207.97:8148` → `:443` - **2026-05-27:** правило сделано постоянным в `/etc/nftables.d/50-printer-dnat.nft` (chain `printer_dnat_pre` + `printer_masq_post`). Переживёт ребут Cudy. ## Mac (клиент, Бенелюкс) - Hostname: macbook-pro.netbird.cloud - Netbird IP: 100.70.242.212 - Статус: Connected (Relayed) ## Известные проблемы - `ip: database tables is corrupted at line 14` — косметическая ошибка ip route - `podkop check_proxy` не получает внешний IP (баг скрипта ash regex) - sshpass не работает с Dropbear — использовать expect - Netbird → полный маршрут 192.168.1.0/24 не работает без DNAT (только конкретные порты через DNAT)