--- name: Знаменское Охотхозяйство — сеть description: Полная топология сети охотхозяйства: MikroTik LTE + Orange Pi OpenWrt + VPS WireGuard + Netbird, камеры, DNAT type: project --- # Сеть Знаменское Охотхозяйство — полная документация ## Обзор Удалённый объект (охотхозяйство) с интернетом через LTE (CGNAT). Удалённый доступ организован двумя каналами: 1. **Netbird VPN** через Orange Pi — основной канал управления 2. **WireGuard** через VPS (89.111.140.86) — канал для видеонаблюдения (DNAT камер) MikroTik WireGuard к VPS **ОТКЛЮЧЁН** (ломал интернет, перехватывал default route). WG работает только на Orange Pi → VPS. --- ## Схема сети ``` ┌─────────────────────────────────────────────────┐ │ VPS 89.111.140.86 (swtest.ru) │ │ Ubuntu 24.04, 1 vCPU, 990MB RAM, 10GB disk │ │ WG: wg0 10.5.0.1/24 :51821 │ │ Netbird: 100.70.93.36 │ │ DNAT: камеры → интернет (порты 8xxx) │ └──────┬──────────────────┬──────────────────────┘ │ WG (UDP 51821) │ WG (UDP 51821) ┌────────────┘ └───────────┐ │ 10.5.0.3 │ 10.5.0.2 │ 192.168.8.0/24 │ 192.168.88.0/24 ▼ ▼ ┌─────────────────────────────────────┐ ┌──────────────────────────┐ │ Orange Pi R1 Plus LTS (OpenWrt) │ │ Знаменское 29 │ │ 192.168.8.254 │ │ MikroTik 192.168.88.1 │ │ Netbird: 100.70.63.67 │ │ 1 камера HiWatch .42 │ │ WG wg0 → VPS (0 rx, проблема!) │ │ (отдельная локация) │ │ Маршрут 192.168.8.0/24 в Netbird │ └──────────────────────────┘ └──────────────┬──────────────────────┘ │ br0 (eth0+eth1) │ DHCP client (.254) │ ┌──────────────┴──────────────────────────────────────────────────────────┐ │ │ │ MikroTik hAP ax lite LTE6 — 192.168.8.1 │ │ RouterOS 7.22, S/N: HH20AD5NPHJ │ │ ARM 2-core 800MHz, 256MB RAM, 128MB Flash │ │ Timezone: Europe/Moscow (UTC+3) │ │ │ │ ┌──────────┐ ┌────────┐ ┌────────┐ ┌────────┐ ┌───────┐ │ │ │ lte1 │ │ ether1 │ │ ether2 │ │ ether3 │ │ ether4│ │ │ │ WAN │ │ bridge │ │ bridge │ │ bridge │ │ bridge│ │ │ │ CGNAT │ │ UP ◉ │ │ UP ◉ │ │ DOWN ○ │ │ DOWN ○│ │ │ │7.90.8.47 │ │ 100M │ │ 100M │ │ │ │ │ │ │ └──────────┘ └────────┘ └────────┘ └────────┘ └───────┘ │ │ │ │ ┌──────────────┐ ┌──────────────────┐ │ │ │ wifi1 (AP) │ │ wg-vps │ │ │ │ bridge │ │ DISABLED ✗ │ │ │ │ SSID: Hunter │ │ (ломал интернет) │ │ │ │ WPA2/3-PSK │ │ 10.5.0.3/24 │ │ │ │ pw:12345678a │ │ → VPS :51820 │ │ │ └──────────────┘ └──────────────────┘ │ │ │ │ DHCP: 192.168.8.2-254, lease 30m, DNS: 192.168.8.1 │ │ DNS upstream: 176.59.62.125, 176.59.62.126 (от LTE-оператора) │ │ NAT: srcnat masquerade → lte1 │ │ Firewall filter: все defconf правила DISABLED, forward ACCEPT │ └─────────────────────────────────────────────────────────────────────────┘ │ bridge (192.168.8.0/24) │ ┌────┴────────────────────────────────────────────────────────────┐ │ LAN-устройства │ ├─────────────────────────────────────────────────────────────────┤ │ │ │ ПРОВОДНЫЕ (статические / DHCP reserved): │ │ │ │ .1 — MikroTik (роутер, gateway) │ │ .2 — Камера 1 (24:48:45:85:DC:95) RTSP :554, SDK :8000 │ │ .3 — Камера 2 (24:48:45:85:E0:19) RTSP :554, SDK :8000 │ │ .102 — Камера 3 (—) RTSP :554, SDK :8000 │ │ .110 — Камера 4 (20:BB:BC:5E:80:85) RTSP :554, SDK :8000 │ │ .113 — Камера 5 (—) RTSP :554, SDK :8000 │ │ .120 — Камера 6 (20:BB:BC:6B:02:E5) RTSP :554, SDK :8000 │ │ .247 — NVR (DC:07:F8:4A:F3:69) Web :80, SDK :8000, RTSP :554 │ │ .254 — Orange Pi R1 Plus LTS (OpenWrt, Netbird/WG gateway) │ │ │ │ Wi-Fi КЛИЕНТЫ (динамические): │ │ │ │ .244 — TECNO POVA 7 Ultra 5G (постоянный, сигнал -42) │ │ .150 — POCO X5 Pro 5G (гость, сигнал -51) │ │ .144 — S23 Ultra «Сергей» (гость, сигнал -81) │ │ Ранее: HONOR 400 Pro, OnePlus 8T, Mi 11 Ultra, iPhone, │ │ M2102J20SG, Infinix GT 30 Pro, iPad │ │ │ └──────────────────────────────────────────────────────────────────┘ ``` --- ## 1. MikroTik hAP ax lite LTE6 | Параметр | Значение | |----------|---------| | Модель | hAP ax lite LTE6 (L41G-2axD&FG621-EA) | | S/N | HH20AD5NPHJ | | RouterOS | 7.22 (stable), build 2026-03-09 | | Firmware | 7.15.2 (upgrade available: 7.22) | | CPU | ARM, 2 cores, 800 MHz | | RAM | 256 MB (free ~80 MB) | | Flash | 128 MB (free ~95 MB) | | Timezone | Europe/Moscow (UTC+3) | | LAN IP | 192.168.8.1/24 | | WAN | LTE (lte1), CGNAT IP 7.90.8.47/32 | | DNS | 176.59.62.125, 176.59.62.126 (dynamic from LTE) | | Admin | admin / 1qaz!QAZ (REST API + SSH + WebFig) | ### Интерфейсы | Интерфейс | Тип | Статус | MAC | Назначение | |-----------|-----|--------|-----|-----------| | bridge | bridge | UP | F4:1E:57:41:76:24 | LAN (все порты + Wi-Fi) | | ether1 | ethernet | UP 100M | F4:1E:57:41:76:24 | Bridge port (LAN) | | ether2 | ethernet | UP 100M | F4:1E:57:41:76:25 | Bridge port (LAN, основной трафик) | | ether3 | ethernet | DOWN | F4:1E:57:41:76:26 | Bridge port (не подключён) | | ether4 | ethernet | DOWN | F4:1E:57:41:76:27 | Bridge port (не подключён) | | wifi1 | wifi AP | UP | F4:1E:57:41:76:28 | Bridge port, SSID "Hunter" | | lte1 | LTE modem | UP | CA:9D:C9:1B:1C:80 | WAN (интернет) | | wg-vps | WireGuard | **DISABLED** | — | К VPS (отключён, ломал интернет) | ### Wi-Fi | Параметр | Значение | |----------|---------| | SSID | Hunter | | Auth | WPA2-PSK + WPA3-PSK | | Пароль | 12345678a | | Band | 2.4 GHz (ax/n) | | FT (Fast Transition) | Включён | ### Маршруты | Назначение | Gateway | Статус | Комментарий | |-----------|---------|--------|------------| | 0.0.0.0/0 | lte1 | **Активен** | Default через LTE | | 0.0.0.0/0 | wg-vps | Неактивен | Route through VPN (distance 2) | | 10.0.0.0/24 | wg-vps | Неактивен | VPS WireGuard network | | 10.5.0.0/24 | wg-vps | Неактивен | WG сеть | | 89.111.140.86/32 | lte1 | Активен | Direct to VPS | | 192.168.8.0/24 | bridge | Активен | LAN | ### NAT | Chain | Action | Правило | |-------|--------|---------| | srcnat | masquerade | out-interface-list=WAN, ipsec-policy=out,none | | srcnat | masquerade | in-interface=wg-vps, out-interface-list=LAN (для WG→LAN) | ### Firewall Filter Все defconf правила **DISABLED**. Активны только: - forward: Accept WG VPS → LAN - forward: Accept LAN → WG VPS (established,related) ### Interface Lists - **LAN**: bridge - **WAN**: lte1 --- ## 2. Orange Pi R1 Plus LTS (OpenWrt Gateway) | Параметр | Значение | |----------|---------| | Модель | Xunlong Orange Pi R1 Plus LTS | | Arch | aarch64_generic (rockchip/armv8) | | OpenWrt | 21.02.1, r16325-88151b8303 | | Kernel | 5.4.154 SMP PREEMPT | | Hostname | OpenWrt_ohothozyistvo | | FQDN | openwrt-ohothozyistvo.netbird.cloud | | LAN IP | 192.168.8.254 (DHCP от MikroTik) | | MAC | C0:74:2B:FC:32:20 | | Netbird IP | 100.70.63.67/16 | | WG IP | 10.5.0.3/24 (wg0 → VPS) | | Disk | 29.2 GB (353 MB used, 1%) | | SSH | root / 1qaz!QAZ (Dropbear, нужен expect) | ### Сетевые интерфейсы | Интерфейс | IP | Назначение | |-----------|-----|-----------| | br0 (eth0+eth1) | 192.168.8.254/24 | Bridge, DHCP client от MikroTik | | wg0 | 10.5.0.3/24 | WireGuard → VPS 89.111.140.86:51820 | | wt0 | 100.70.63.67/16 | Netbird WireGuard | | docker0 | 172.17.0.1/16 | Docker (не используется) | ### WireGuard (wg0) | Параметр | Значение | |----------|---------| | Public Key | QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI= | | Peer | VPS (v95Qiu4diw2E...) | | Endpoint | 89.111.140.86:51820 | | Allowed IPs | 10.5.0.0/24 | | Keepalive | 25s | | Статус | **0 bytes received** — VPS слушает на :51821, OrangePi шлёт на :51820 — **ПОРТ НЕ СОВПАДАЕТ!** | ### Netbird | Параметр | Значение | |----------|---------| | Version | 0.36.5 | | Status | Connected (Relayed) | | Relay | rels://streamline-fi-hel1-2.relay.netbird.io:443 | | Routes | 192.168.8.0/24 (раздаёт в Netbird mesh) | | Peers | 27/44 Connected | ### Установленные сервисы adblock, aria2, avahi, banip, collectd, dnsmasq, dockerd, dropbear, luci_statistics, minidlna, mjpg-streamer, **netbird**, nlbwmon, qos, samba4, shadowsocks-libev, sqm, squid, sshd, transmission, ttyd, unbound, vnstat, watchcat, wsdd2, zerotier --- ## 3. VPS (WireGuard Hub + DNAT) | Параметр | Значение | |----------|---------| | Hostname | 89-111-140-86.swtest.ru | | OS | Ubuntu 24.04.4 LTS | | IP | 89.111.140.86 (также IPv6: 2a01:d8:4:f:89:111:140:86) | | Netbird IP | 100.70.93.36 | | CPU | 1 vCPU | | RAM | 990 MB (free ~73 MB) | | Disk | 9.8 GB (84% used!) | | WG IP | 10.5.0.1/24 | | WG Port | **51821** (не стандартный) | | SSH | ключ vps_znam_key с clawdbot (LXC 129) | | Docker | camera-proxy (running) | ### WireGuard пиры | Пир | WG IP | Allowed IPs | Endpoint | Статус | |-----|-------|------------|----------|--------| | Знаменское 29 | 10.5.0.2 | 10.5.0.2/32, 192.168.88.0/24 | 193.39.160.146:35156 | **UP** ✓ | | Охотхозяйство (MikroTik) | 10.5.0.3 | 10.5.0.3/32, 192.168.8.0/24 | нет Endpoint | **DOWN** ✗ (MikroTik wg-vps disabled) | | Знаменское Home (OpenWrt_3) | 10.5.0.4 | 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24 | 193.39.160.238:1514 | **UP** ✓ (4.37 TiB rx!) | **Важно:** Пир охотхозяйства НЕ имеет Endpoint в конфиге VPS — VPS не может сам инициировать подключение. Подключение должно приходить от MikroTik, но wg-vps на нём отключён. Реально WG идёт через Orange Pi (wg0), но Orange Pi шлёт на порт 51820, а VPS слушает на 51821 — **порт не совпадает, туннель не работает**. ### DNAT правила (порты на 89.111.140.86) #### Охотхозяйство (192.168.8.x) — через WG 10.5.0.3 | Внешний порт | → Локальный адрес | Назначение | |-------------|-------------------|-----------| | **8180** | 192.168.8.247:80 | NVR Web | | **8100** | 192.168.8.247:8000 | NVR SDK (iVMS-4200) | | **8555** | 192.168.8.247:554 | NVR RTSP | | **8561** | 192.168.8.2:554 | Камера 1 RTSP | | **8201** | 192.168.8.2:8000 | Камера 1 SDK | | **8562** | 192.168.8.3:554 | Камера 2 RTSP | | **8202** | 192.168.8.3:8000 | Камера 2 SDK | | **8563** | 192.168.8.102:554 | Камера 3 RTSP | | **8203** | 192.168.8.102:8000 | Камера 3 SDK | | **8564** | 192.168.8.110:554 | Камера 4 RTSP | | **8204** | 192.168.8.110:8000 | Камера 4 SDK | | **8565** | 192.168.8.113:554 | Камера 5 RTSP | | **8205** | 192.168.8.113:8000 | Камера 5 SDK | | **8566** | 192.168.8.120:554 | Камера 6 RTSP | | **8206** | 192.168.8.120:8000 | Камера 6 SDK | #### Знаменское 29 (192.168.88.x) — через WG 10.5.0.2 | Внешний порт | → Локальный адрес | Назначение | |-------------|-------------------|-----------| | **8080** | 192.168.88.42:80 | Камера HiWatch Web | | **8082** | 192.168.88.42:8000 | Камера SDK (TCP+UDP) | | **8554** | 192.168.88.42:554 | Камера RTSP | #### Знаменское Home (192.168.1.x) — через WG 10.5.0.4 | Внешний порт | → Локальный адрес | Назначение | |-------------|-------------------|-----------| | **8280** | 192.168.1.123:80 | NVR Hikvision Web | | **8282** | 192.168.1.123:8000 | NVR SDK | | **8284** | 192.168.1.123:554 | NVR RTSP | --- ## 4. Устройства в LAN (192.168.8.0/24) ### Проводные (постоянные) | IP | MAC | Тип | Порты | DNAT на VPS | |----|-----|-----|-------|-------------| | .1 | F4:1E:57:41:76:24 | MikroTik (router) | — | — | | .2 | 24:48:45:85:DC:95 | Камера 1 | RTSP :554, SDK :8000 | 8561, 8201 | | .3 | 24:48:45:85:E0:19 | Камера 2 | RTSP :554, SDK :8000 | 8562, 8202 | | .102 | — | Камера 3 | RTSP :554, SDK :8000 | 8563, 8203 | | .110 | 20:BB:BC:5E:80:85 | Камера 4 | RTSP :554, SDK :8000 | 8564, 8204 | | .113 | — | Камера 5 | RTSP :554, SDK :8000 | 8565, 8205 | | .120 | 20:BB:BC:6B:02:E5 | Камера 6 | RTSP :554, SDK :8000 | 8566, 8206 | | .247 | DC:07:F8:4A:F3:69 | NVR | Web :80, SDK :8000, RTSP :554 | 8180, 8100, 8555 | | .254 | C0:74:2B:FC:32:20 | Orange Pi R1+ LTS | SSH :22 | — | ### Wi-Fi клиенты (наблюдались 12–16 марта) | Hostname | MAC | Частота появления | |----------|-----|-------------------| | TECNO POVA 7 Ultra 5G | 02:01:A7:CF:49:6A | Постоянный (сигнал -42) | | HONOR 400 Pro | 2E:D1:87:C2:8D:8F / 84:A1:B7:FE:26:06 | Частый | | S23 Ultra «Ruptor» | F2:33:DD:3C:87:9E | Периодический | | S23 Ultra «Сергей» | 36:11:DE:CA:46:BB | Периодический | | POCO X5 Pro 5G | 72:6F:0D:AF:D9:E0 | Частый гость | | OnePlus 8T | 9A:DB:87:12:2C:0E | Гость | | Mi 11 Ultra | A2:72:D7:F7:4C:C5 | Гость | | Infinix GT 30 Pro | 26:13:C9:EE:CF:3C | Гость | | M2102J20SG (Xiaomi) | 0E:56:F6:18:06:7A | Редко | | iPhone | E6:FE:79:8C:9E:F4 | Редко | | iPad | DA:FB:04:4E:04:C6 | Редко | | Неизвестный | 36:BA:A2:5B:B6:95 | Частый | --- ## 5. Каналы удалённого доступа ### Канал 1: Netbird (основной) ``` Администратор → Netbird mesh → Orange Pi (100.70.63.67) │ route 192.168.8.0/24 ├→ MikroTik REST API (192.168.8.1) ├→ NVR (192.168.8.247) └→ Камеры (.2, .3, .102, .110, .113, .120) ``` - Работает через relay (Relayed) - Latency: ~75-210 ms - Orange Pi раздаёт маршрут 192.168.8.0/24 в Netbird ### Канал 2: WireGuard VPS (для видеопотоков) ``` Интернет → VPS (89.111.140.86:8xxx) │ DNAT ▼ WG туннель (10.5.0.1 ↔ 10.5.0.3) │ ▼ 192.168.8.x (камеры/NVR) ``` - **СТАТУС: НЕ РАБОТАЕТ** - Причина: MikroTik wg-vps disabled, Orange Pi wg0 шлёт на порт 51820 (VPS слушает 51821) - Для восстановления нужно: исправить порт на Orange Pi (51820→51821) ИЛИ включить wg-vps на MikroTik ### Канал 3: Прямой доступ через VPS → WG → SSH ``` clawdbot (10.0.0.206) → ssh -i vps_znam_key root@100.70.93.36 (VPS Netbird) → ssh/curl → 192.168.8.x (через WG, если работает) → expect ssh root@192.168.8.254 (Orange Pi, через WG) ``` - Путь VPS → 192.168.8.x работает через WG к OpenWrt_3 (10.5.0.4) при условии, что WG-туннель к охотхозяйству поднят. **На данный момент трафик от VPS к 192.168.8.x идёт, т.к. Orange Pi wg0 отправляет keepalive и VPS знает endpoint.** --- ## 6. Известные проблемы ### WireGuard порт mismatch - Orange Pi wg0 endpoint: `89.111.140.86:51820` - VPS wg0 ListenPort: `51821` - **Порты не совпадают!** Orange Pi шлёт пакеты на 51820, но VPS слушает на 51821 - Несмотря на это, VPS показывает handshake от Знаменское 29 и Home — возможно NAT или iptables перенаправляет 51820→51821, или пиры шлют на правильный порт ### MikroTik WireGuard ломает интернет - wg-vps имеет default route с distance 2 — при включении может перехватить трафик - **Why:** wg-vps endpoint 89.111.140.86 маршрутизируется через lte1 (отдельный static route), но весь остальной трафик уходит в wg-vps туннель который не работает - **Решение:** wg-vps оставить disabled, использовать только Orange Pi WG ### VPS диск почти полный - 9.8 GB, 84% used — нужна очистка ### Последнее отключение питания - 12 марта 15:25 — `router rebooted without proper shutdown, probably power outage` - МикроТик потерял и восстановил время (NTP коррекция на ~23 часа) --- ## 7. Учётные данные | Устройство | Логин | Пароль | Доступ | |-----------|-------|--------|--------| | MikroTik | admin | 1qaz!QAZ | REST API http://192.168.8.1/rest/, SSH, WebFig | | Orange Pi | root | 1qaz!QAZ | SSH (expect, Dropbear) | | VPS | root | — (ключ) | SSH с clawdbot: `ssh -i ~/.ssh/vps_znam_key root@100.70.93.36` | | NVR (.247) | — | — | Web http://192.168.8.247 | | Камеры | — | — | RTSP/SDK | | Знаменское 29 MikroTik | admin | admin01 | 192.168.88.1 | | Знаменское 29 камера | admin | 1qaz!QAZ | 192.168.88.42 |