# 2026-04-17: Стабилизация Podkop на Переделках

## Проблема
Жалоба: Podkop на объекте Переделки (OpenWrt 100.70.197.125) плохо обходит блокировки, работает нестабильно.

## Диагностика

Туннель AWG (wg0 → 78.17.4.225 Финляндия) был исправен:
- Handshake свежий, 0% packet loss, выход через 78.17.4.225
- FakeIP DNS резолвит в 198.18.0.x для всех проверенных доменов

Три реальные причины нестабильности:

### 1. `disable_quic = 0` (ГЛАВНАЯ)
QUIC (HTTP/3 на UDP:443) не перехватывался FakeIP. YouTube/Google/Meta/Instagram в Chrome/Firefox fallback'или на QUIC и шли напрямую, минуя VPN → обход ломался избирательно для этих сервисов.

### 2. sing-box не в автозапуске
`/etc/init.d/sing-box enabled` → exit 1. При ребуте роутера sing-box не поднимался автоматически, podkop подхватывал его через `start_service`, но на это нельзя полагаться.

### 3. `shutdown_correctly = 0`
При выключении nftables-правила podkop не снимались корректно.

## Исправление

```bash
ssh root@100.70.197.125  # 1qaz!QAZ

# 1. Блокировка QUIC (сбрасывает HTTP/3 на TCP/TLS)
uci set podkop.settings.disable_quic='1'
uci set podkop.settings.shutdown_correctly='1'
uci commit podkop

# 2. Автозапуск sing-box
/etc/init.d/sing-box enable

# 3. Применить
podkop restart
```

## Результат

| Параметр | До | После |
|----------|-----|-------|
| disable_quic | 0 | 1 |
| shutdown_correctly | 0 | 1 |
| sing-box autostart | DISABLED | ENABLED (`/etc/rc.d/S99sing-box`) |
| podkop autostart | ENABLED | ENABLED |
| AWG handshake | свежий | свежий |
| Выход в инет | 78.17.4.225 | 78.17.4.225 |

FakeIP DNS проверен для: youtube, instagram, whatsapp, web.telegram.org, facebook, tiktok — все резолвятся в 198.18.0.x.

В sing-box config.json подтверждено правило для `protocol: quic` на `tproxy-in` → QUIC-трафик к заблокированным доменам идёт через VPN.

## Важное на будущее

1. **`disable_quic=1` обязателен на FakeIP + sing-box** — без этого браузеры будут произвольно использовать HTTP/3 мимо обхода.
2. **Проверять автозапуск sing-box после установки/обновления Podkop** — установщик не всегда включает его в procd.
3. **`podkop restart` может сбрасывать `shutdown_correctly`** — это баг, перепроверять значение после рестарта.

## Теги
`#niikn` `#peredelki` `#podkop` `#amneziawg` `#bypass` `#quic` `#stability` `#fix`