Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; назначение — обход блокировок через podkop. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP.

Контакт


Клиент	Александр
Локация	КП Бенелюкс, Истра

Роутер

Параметр	Значение
Модель	Cudy TR3000 v1 (MediaTek Filogic, aarch64)
Hostname	`Benelux`
OpenWrt	24.10.3
NetBird IP	`100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`)
WAN	eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60`
LAN	`192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже)
SSH	по ключу `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в credentials)

Что работает в сети

Cudy = только шлюз/podkop + DHCP + NetBird-bridge. Wi-Fi и доступ к LAN — через систему Unifi за ним.

На Cudy

podkop v0.7.14 + sing-box 1.12.22 — обход блокировок:
- Main: VPN через awg0 (AmneziaWG), списки russia_inside + telegram + meta (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP)
- Vless: VLESS-Singapore (202.71.12.186:443, Reality)
- DNS: DoH (https://common.dot.dns.yandex.net/dns-query), bootstrap 77.88.8.8
- FakeIP: 198.18.0.0/15, QUIC отключён
- Clash API: 192.168.1.1:9090
NetBird для удалённого доступа (100.70.207.97)
DHCP 192.168.1.2 — 192.168.1.254 (leasetime 12h)
Принтер HP M775: проброшен через DNAT с NetBird-IP (https://100.70.207.97:8148 → 192.168.1.148:443)

Unifi-сегмент за Cudy

В LAN — Unifi AP/Switch (3 устройства c MAC 70:a7:41:*):

IP	MAC	Hostname	Состояние
`192.168.1.199`	`70:a7:41:79:ef:29`	`Benelyuks`	активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже)
`192.168.1.192`	`70:a7:41:9a:9e:92`	—	тихо
`192.168.1.101`	`70:a7:41:c1:33:0a`	—	тихо

К какому контроллеру они adopted — пока не выяснено. Точные факты по состоянию на 2026-05-20:

К общему LXC 116 на pve-niikn (100.70.138.234 unifi-controller.netbird.cloud) inform-трафика нет
К UDM-Pro Знаменского inform-трафика нет
На Cudy нет ни unifi-proxy (socat), ни DNS-override unifi → …, ни DNAT для 8080/8443/3478
Устройство 192.168.1.199 шлёт TCP SYN на 192.168.28.34:8381 (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа
Hostname Benelyuks у одного из устройств — значит когда-то было adopted (имя задаётся при provision)

Возможные гипотезы:

AP/Switch — наследие старого setup, контроллер которого больше недоступен
Был отдельный standalone-контроллер где-то в LAN, сейчас не работает
192.168.28.34 — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация

TODO: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж.

Известные клиенты в LAN

Samsung S23 «пользователя Нина» (192.168.1.128)
MacBook «Mac» (192.168.1.231)
Cisco IP-телефон SEP00235EB76EBE (192.168.1.216)
HP принтер NPI0EC3A9 (192.168.1.152)
HP M775 (192.168.1.148, через DNAT для удалённой печати)
~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.)

Полные конфиги Cudy: claude-memory/benelux и claude-memory/benelux-topology.

Конфликт подсетей

192.168.1.0/24 в Бенелюксе пересекается с:

LAN UDM-Pro Знаменского (192.168.1.0/24)
pve-niikn (анонсирует 192.168.1.0/24 в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс)

При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP.

История инцидентов

2026-05-20 — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. decisions/2026-05-20-benelux-compromise.

Планы / концепции

wifi-segmentation-concept — сегментация Wi-Fi на хозяев / персонал / гостей (UniFi VLAN + firewall на Cudy). Черновик 2026-06-01, внедрение отложено.

Aliases для FTS

Benilux, Бенелюкс, OpenWrt Benilux, 100.70.207.97, Истра-Benelux, КП Бенелюкс, Александр Бенелюкс.

README.md Unescape Escape

Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра)