oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
knowledge-base/decisions/2026-06-27-benelux-foreign-banks-eu-exit.md
dttb b7bd90ae87 Homepage: группа 'OpenWrt роутеры' (все 10) + Sergey/Lipki остаются в Клиентах 
- workflow-скан vault → 10 OpenWrt-роутеров, ping по NetBird (7 UP, 3 down: Olivier/Переделки/Красногорск)
- Sergey/Lipki = клиенты с подкопом, дублируются в обеих группах (правка Олега)
- итого 8 групп / 45 сервисов

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-27 22:12:11 +03:00

53 lines
5.1 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-06-27
type: decision
tags: [benelux, podkop, fakeip, user_domains, geoblock, sanctions, bnp, edf, vodafone, emiratesnbd]
status: done
---
# Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)
## Жалоба
Александр (КП Бенелюкс, Истра — **объект в РФ**): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: `m.vodafone.es`, `connexion-mabanque.bnpparibas`, `auth.entreprises-collectivites.edf.fr`, `online.emiratesnbd.com`.
## Диагноз
Эти домены **не входили ни в один список podkop** (`russia_inside`,`telegram`,`meta`) → резолвились реально → шли **напрямую через российский WAN-IP** `45.143.21.60` («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).
Это **зеркало** типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис **остался вне туннеля** и выходит российским IP.
## Находка
EXIT туннеля `202.71.12.186` (awg0/VLESS) по ip-api = **Finland / Helsinki / Hostkey B.V.**, а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены ([[../claude-memory/benelux]], [[../snippets/podkop-reference]]).
## Фикс (устойчивый — `user_domains`, не dnsmasq-override)
```sh
cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
uci add_list podkop.main.user_domains="$d"
done
uci commit podkop && /etc/init.d/podkop restart
killall -HUP dnsmasq
```
`user_domain_list_type=dynamic` уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).
## Проверка (через финский выход, EU-резолв + браузерные заголовки)
| Сайт | российский IP | EU-выход |
|---|---|---|
| vodafone.es | 200 | **200** ✅ |
| emiratesnbd.com | 403 | **200** ✅ |
| edf.fr | 503 | **404** (приложение отвечает; голый `/` без query → 404, реальный auth-URL откроется) ✅ |
| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = **не гео**); в браузере с JS/cookies проходит |
Контроль: домены → FakeIP `198.18.x`; `youtube` остался в туннеле; `ozon` напрямую (РФ не сломан).
## Грабли по ходу (на будущее)
- **curl с самого роутера НЕ показатель выхода**: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN). `curl https://api.ipify.org` с роутера вернул российский IP даже после добавления в список. Честный egress-тест: `curl --interface awg0 https://api.ipify.org` (домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход = `202.71.12.186` Финляндия).
- Домен **в списке** + `curl --interface awg0` без `--resolve` → системный DNS даёт FakeIP `198.18.x` → curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через `--resolve`.
## Клиенту (Александр)
Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).
## TODO (если BNP всё же капризничает)
Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в `user_domains`.
См. [[../snippets/podkop-reference]] §6 (user_domains), [[../claude-memory/benelux]], [[2026-06-26-benelux-podkop-recovery-watchdog]].
Reference in New Issue View Git Blame Copy Permalink