--- date: 2026-05-12 type: project status: active tags: [object, openwrt, netbird, client, podkop, amneziawg] aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово, Cudy_TR3000_Sergey] --- # Sergey — клиентский OpenWrt Один из выездных OpenWrt-роутеров (домашний / клиентский) с подкоп-обходом РКН. Диагностирован 2026-05-12. ## Доступ | Параметр | Значение | |---|---| | Имя пира NetBird | `OpenWrt_Sergey` | | NetBird IP | `100.70.110.164` | | Локация | Одинцово | | SSH | `ssh root@100.70.110.164` пароль `1qaz!QAZ` (только через NetBird, в LAN-провайдере не светится) | | LuCI | http://192.168.1.1 (только из LAN) | | Clash API | `192.168.1.1:9090` (только из LAN) | ## Железо | Параметр | Значение | |---|---| | Модель | **Cudy TR3000 v1** (MediaTek Filogic 820, MT7981) | | Архитектура | `aarch64_cortex-a53` | | OpenWrt | 24.10.3 `r28872-daca7c049b`, target `mediatek/filogic` | | Uptime (2026-05-12) | 57 дней | ## Сеть - **WAN** `eth0` — внутри провайдерского сегмента **192.168.0.0/24**, IP `192.168.0.136`, gateway `192.168.0.1` (двойной NAT — за провайдерским роутером). - **LAN** `br-lan` 192.168.1.0/24, роутер 192.168.1.1. - **Внешний публичный IP без VPN**: `217.73.118.172` (NetByNet, РФ). - **Внешний IP через awg0**: `202.71.12.186` (Singapore VPS, общий VLESS endpoint Олега). - **NetBird** `wt0` 100.70.110.164/16. ## Установлено | Пакет | Версия | Назначение | |---|---|---| | podkop / luci-app-podkop | v0.7.14-r1 | управляющая обвязка обхода (sing-box + nft + rule_sets) | | sing-box | 1.12.12-r1 | tproxy на 127.0.0.1:1602, FakeIP `198.18.0.0/15` | | kmod-amneziawg + amneziawg-tools + luci-proto-amneziawg | 1.0.20250903 / ядерный | туннель `awg0` | | netbird | 0.59.12-r1 | NetBird-агент | | dnsmasq | 2.90-r4 | LAN DNS, форвардит на `127.0.0.42` (sing-box DNS), `noresolv=1` | **НЕ установлен** AdGuard Home — фильтрация только через FakeIP подкопа. ## Подкоп: что заворачивается | Секция | Connection | Outbound | community_lists | |---|---|---|---| | `main` | vpn | `awg0` (AmneziaWG → Singapore) | `russia_inside`, `telegram`, `meta` | | `vlees` | proxy | VLESS Reality SNI=googletagmanager (202.71.12.186:443) — резерв | `russia_inside` | DNS: `udp 8.8.8.8`, bootstrap `77.88.8.8`, `disable_quic=1`, `log_level=warn`. AmneziaWG peer endpoint: `202.71.12.186:37209`, jc=3 / s1=75 / s2=97 / h1-h4 заданы. ## AmneziaWG-конфиг (peer Сергея) ``` [Interface] PrivateKey = Qd4D4shtIISe86BEh/6mPuMWPV0BIaqoJ9jcW0zyLRQ= Address = 10.8.1.34/32 DNS = 1.1.1.1, 1.0.0.1 Jc = 3 Jmin = 50 Jmax = 1000 S1 = 75 S2 = 97 H1 = 860002361 H2 = 977296329 H3 = 921200064 H4 = 1328368280 [Peer] PublicKey = C+Y+jAGsuaLtpgZvkgLC3cqqRlV9vwOAcQlObLdgiEQ= PresharedKey = SBtI7711obKV+SQaiGJ1+9pi/Xh6SZygdwny61z6PQ4= AllowedIPs = 0.0.0.0/0, ::/0 Endpoint = 202.71.12.186:37209 PersistentKeepalive = 25 ``` ## Диагностика 2026-05-12 (жалоба «Instagram не работает») **Все компоненты на роутере исправны:** - handshake awg0: 1:37 назад, 11.5 GiB rx / 286 MiB tx - 108k TCP / 2598 UDP пакетов прошли через tproxy 127.0.0.1:1602 - FakeIP подменяет: `www.instagram.com → 198.18.0.17`, `i.instagram.com → 198.18.0.6`, `scontent.cdninstagram.com → 198.18.0.27` - `curl --interface awg0 https://www.instagram.com/` с роутера → HTTP 200 - `list_update` прошёл 2026-05-12 09:13 без ошибок **Вероятная реальная причина у клиента (iPhone, MAC `2e:7f:8c:ce:07:8a` — рандомизированный, единственный активный в DHCP `192.168.1.102`):** 1. iCloud Private Relay — целиком обходит локальный DNS и FakeIP 2. Encrypted DNS в Safari/Chrome (DoH к 1.1.1.1/8.8.8.8 по TCP/443) 3. Кастомный DNS-профиль в Wi-Fi-настройках сети **Решение (попросить Сергея на iPhone):** - Настройки → Apple ID → iCloud → Частный узел → ВЫКЛ - Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически - Safari → Конфиденциальность → Скрывать IP-адрес → ВЫКЛ - Chrome → `chrome://settings/security` → DNS через HTTPS → ВЫКЛ В подкопе v0.7.14 нет встроенной опции "force DNS / block DoH" — если симптомы повторятся, делать вручную через nft (DNAT всего LAN-DNS:53 → 127.0.0.1 + drop известных DoH-серверов). Полный разбор → [[../../decisions/2026-05-12-sergey-instagram-iphone-fakeip]]. Типовой playbook для подобных диагностик → [[../../snippets/podkop-fakeip-diagnostics]]. ## Шум в логах sing-box (не баг) Постоянные `ERROR connection: open connection to {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net:443 ... lookup ...: empty result` — это **Meta NetSeer probes**, штатные anti-CDN-detection запросы Meta. Сами по себе таких доменов в DNS нет (Meta генерит GUID каждые ~30 сек), `empty result` — ожидаемый ответ. Игнорировать. ## Открытые вопросы - [ ] Что роутер реально обслуживает (один телефон в LAN, остальные нет — это второе жильё / дача?) - [ ] Сергей — клиент / друг / семья? связь с другими «Сергеями»? - [ ] Точный адрес и контакт ## Aliases для FTS `Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`, `Cudy TR3000`.