112 lines
11 KiB
Markdown
112 lines
11 KiB
Markdown
---
|
||
date: 2026-06-02
|
||
type: credentials
|
||
status: active
|
||
tags: [openwrt-4, olivier, credentials, vps, hostkey, amneziawg, france, canal-plus]
|
||
aliases: [Olivier creds, openwrt-4 credentials, fr-vmnano, 151.243.217.139, Оливье креды]
|
||
---
|
||
|
||
# OpenWrt_4 / Оливье — креды
|
||
|
||
> Клиент: **Оливье** (француз, Москва). Роутер Cudy TR3000 = NetBird `olivier-cudy` (`olivier-cudy.netbird.cloud`; имя было `OpenWrt_4`). Французская выходная нода для обхода РКН + **Canal+**. Рунбук: [[canal-plus-setup-runbook]] · проект: [[README]].
|
||
|
||
## Французский VPS — выходная нода (HOSTKEY Paris)
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| IP | `151.243.217.139` |
|
||
| Hostname | `fr-vmnano` |
|
||
| Провайдер / ASN | **HOSTKEY B.V.** AS57043, Paris PAR3 (Vélizy) |
|
||
| Гео | FR (Paris) — MaxMind/ipinfo/geojs = **FR**; RIPE inetnum зарегистрирован **NL** (лизованный блок, гео «догоняет»); ip-api протухший US |
|
||
| OS / virt | Ubuntu 22.04.5 LTS, **KVM**, `/dev/net/tun` ✓ |
|
||
| Ресурсы | 2 vCPU / 1.8 GB RAM / 58 GB NVMe |
|
||
| **SSH** | `ssh root@151.243.217.139` пароль **`jIKk7U-Vn-`** |
|
||
|
||
## AmneziaWG-сервер (развёрнут приложением AmneziaVPN, 2026-06-02)
|
||
- Docker-контейнер **`amnezia-awg2`**, слушает **UDP 44221** (`0.0.0.0:44221`).
|
||
- Протокол **AmneziaWG 1.5** (продвинутая обфускация: H-диапазоны, S3/S4, I1 = iCloud-mimic). ⚠️ совместимость с OpenWrt — см. ниже.
|
||
- Файлы в контейнере: `/opt/amnezia/awg/awg0.conf`, `wireguard_*_key.key`, `clientsTable`.
|
||
|
||
### Ключи сервера
|
||
| | |
|
||
|---|---|
|
||
| Server **PublicKey** | `wyN+ob6bWvDsBHw6gVBO11YmpG1kYVO6OqnGtwJx5zs=` |
|
||
| Server **PrivateKey** | `cG1x+PTnszCDjQxqkzR7vKNI2vMRnwKdfMnD2Eo0s24=` |
|
||
| **PresharedKey** (общий на всех пиров) | `eRtyuG6UdQqKxKK/lmWkosR3n0PUNUH9u45CXVNnsS8=` |
|
||
| **Endpoint** (для клиентов) | `151.243.217.139:44221` |
|
||
| Внутренняя сеть | `10.8.1.0/24` |
|
||
|
||
### Обфускация (должна 1:1 совпадать на клиенте)
|
||
```
|
||
Jc=5 Jmin=10 Jmax=50
|
||
S1=97 S2=99 S3=63 S4=7
|
||
H1=525652870-1032659689
|
||
H2=2143742042-2146202402
|
||
H3=2146939599-2147410002
|
||
H4=2147455965-2147472644
|
||
I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c000100010000105a00044d583737> # фейк-DNS под icloud.com
|
||
```
|
||
|
||
### Пиры (clientsTable)
|
||
| IP | Имя | PublicKey | Чей |
|
||
|---|---|---|---|
|
||
| 10.8.1.1 | Admin [macOS Tahoe 26.5] | `UP9e4STNvLh8nDR2A13YBN0OGbKzTng7c9dK/TvnFic=` | Mac Олега |
|
||
| 10.8.1.2 | Admin [iOS 26.5] | `gKXG3SMO+wzkASo3MIqhXNtmngRr6Hq5q9uSZFK+AE8=` | iPhone Олега |
|
||
| 10.8.1.3 | Cudy Оливье ✅ | `rbAob0v1xZFrehdDyBokOoOp89GEt7UJcoq7aqoD6Hk=` | **роутер Оливье** (подтверждено: awg0 работает, FR) |
|
||
|
||
> Клиентские **приватные** ключи только в экспортах приложения AmneziaVPN (на сервере лежат лишь pubkey пиров). Для UCI-блока Cudy нужен **экспорт клиента 10.8.1.3** (там его PrivateKey + Endpoint + обфускация).
|
||
|
||
## Совместимость с OpenWrt (Cudy) — ✅ РЕШЕНО
|
||
Сервер на **AWG 1.5** (S3/S4 + H-диапазоны + I1-пакеты). На Cudy `luci-proto-amneziawg 2.0.4` + `kmod-amneziawg 6.6.104.1.0.20250924` — **1.5 поддерживается** (proto знает `awg_s3/s4`, `awg_i1..i5`, H-диапазоны), конфиг встал как есть, handshake ОК. Обновлять/упрощать не понадобилось.
|
||
|
||
## Роутер Cudy TR3000 (NetBird `olivier-cudy`) — обновлено 2026-06-16
|
||
| Параметр | Значение |
|
||
|---|---|
|
||
| NetBird пир / IP | **`olivier-cudy`** (`olivier-cudy.netbird.cloud`) → **`100.70.194.241`** (имя было `OpenWrt_4`, IP был `100.70.235.2` — сменились при переэнролле 06-09) |
|
||
| WiFi (для клиентов) | SSID **`OpenWrt`** (оба диапазона), пароль **`Romane1993`**, psk2 |
|
||
| SSH | `ssh root@100.70.194.241` пароль **`1qaz!QAZ`** (подтверждён) |
|
||
| **LuCI (по NetBird)** | **`http://100.70.194.241/`** root/`1qaz!QAZ` — правило `Allow-LuCI-NetBird` (tcp 80/443 ← `100.70.0.0/16`, НЕ в WAN) |
|
||
| LAN | **`192.168.50.1/24`** (br-lan = порт `eth1` + WiFi; было `192.168.10.1`, сменилось при ресете 06-09; дефолт `192.168.1.1` коллизил с провайдером) |
|
||
| WAN | `eth0` DHCP за роутером провайдера `192.168.1.1/24` (двойной NAT), публичный `109.252.x` Москва |
|
||
| OpenWrt / extroot | 24.10.3; extroot на USB `sda1` (Kingston → `/overlay`, ~3% занято; было `sda4` до ресета 06-09) |
|
||
| amneziawg | `luci-proto-amneziawg 2.0.4` + `kmod 6.6.104.1.0.20250924` — **AWG 1.5 поддерживается ✅** |
|
||
| awg0 | клиент `10.8.1.3` → `151.243.217.139:44221`, handshake ОК, выход **FR** |
|
||
| podkop | `v0.7.19`: `meta`/`youtube`/`telegram` + user_domains Canal+ (`canalplus.com canal-plus.com mycanal.fr canalplus.pro canal-plus.net`); `disable_quic=1` |
|
||
| IPv6 | LAN **отключён** (`ra/dhcpv6=disabled`) — против утечки мимо FakeIP |
|
||
|
||
### Лог выезда 2026-06-03 (всё через NetBird, Олег удалённо)
|
||
1. Сброс роутера → **extroot слетел из fstab**; восстановил запись (uuid sda4 → /overlay) — ребут снова безопасен.
|
||
2. **Коллизия LAN/WAN** (оба `192.168.1.x`) → не было интернета → сменил LAN на `192.168.10.1` (`ifup lan`, не ребут) → инет вернулся.
|
||
3. **LuCI по NetBird** (правило-зеркало SSH-правила, только `100.70.0.0/16`).
|
||
4. awg0 (AWG 1.5) поднялся → FR; podkop с правильными списками; Canal+-домены добавлены в user_domains → FakeIP (sing-box/dnsmasq кэш чистил).
|
||
5. **IPv6 на LAN вырублен**.
|
||
6. Бэкапы у меня: `cudy-olivier-config-backup.tar.gz` (+ netbird/config.json).
|
||
- ⏳ **Осталось:** Оливье тестит myCanal (плей); устройство `Glavnaa-spalna` (8c:26:aa:c0:c1:d0) застряло на старом `192.168.1.189` — переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку. → **✅ pbr настроен 06-16, см. ниже.**
|
||
|
||
## Сессия 2026-06-16 — диагностика «постоянных проблем» + Canal+ prep
|
||
**Жалоба:** на роутере MGTS инет ок, на Cudy — постоянные обрывы. **Причина самодельная, НЕ MGTS** (линк до gw `192.168.1.1` = 0% потерь, eth0 без ошибок). Два корня, оба устранены:
|
||
- **`/root/agent/watchdog.sh`** (cron `*/2`) рестартил sing-box **каждые 2 мин** — кривой liveness-чек `pgrep -f podkop` (podkop не демон, конфигурит sing-box и выходит). Фикс → `pgrep -f 'sing-box run'`.
|
||
- **`/usr/bin/wan-failover.sh`** (cron `* *` + rc.local) гнал **весь дом через Францию** (awg0 primary) по ложной гипотезе «MGTS флапает». **Реверс → WAN-primary**: main default via `192.168.1.1`, podkop селективно (meta/youtube/telegram + Canal+) → Франция, РФ-сайты напрямую. Egress общий `109.252.139.178` (MGTS), awg0 `151.243.217.139` (FR).
|
||
- ⚠️ Скрипты `/root/agent/*` (watchdog/heartbeat) ведёт **автономный агент** → может перезатереть фикс watchdog при своём деплое. Если вернётся цикл — чинить в источнике агента.
|
||
|
||
**Apple TV → Франция (Canal+) — настроено заранее, persistent (UCI, подтверждено netifd `proto static`):**
|
||
- Статлиз `8C:26:AA:C0:C1:D0 → 192.168.50.189` (`dhcp.atv_host`).
|
||
- pbr целиком во Францию: `ip rule 106 from 192.168.50.189 → table 100` (`192.168.50.0/24 dev br-lan` + `default dev awg0`); firewall forwarding `lan→awg0`. Реальные IP приставки → awg0; FakeIP-домены (Canal+/yt/tg) → podkop TPROXY (mark 0x100000, prio 105) → sing-box → awg0. Проверено `ip route get ... from 192.168.50.189`.
|
||
- IPv6 LAN снова off (`dhcp.lan.ra/dhcpv6=disabled` — откатывался при ресете).
|
||
- **Топология:** приставка сейчас на стороне MGTS (`eth0`-сегмент), за Cudy **вообще никто не подключён** (dhcp.leases пуст, WiFi assoclist пуст, eth1 NO-CARRIER). Дом сидит на WiFi MGTS.
|
||
- **Нужно от клиента:** подключить Apple TV к WiFi Cudy `OpenWrt`/`Romane1993` (или кабель в LAN) + **удалить профиль ExpressVPN** (kill-switch рубит инет) → тест Canal+. Если гео-блок останется — дотюнить вживую с подключённой приставкой.
|
||
|
||
**Бэкап конфигов до правок:** `/root/backup-20260616-routerfix/` (network/dhcp/firewall/wireless + agent/ + wan-failover.sh).
|
||
|
||
## ⚠️ SSH на FR-ноду с code-server (LXC 132) — нужен обходной маршрут
|
||
**Проблема:** интернет code-server завёрнут через NetBird **exit-node `finland5870.com`** (HOSTKEY, egress `202.71.12.186`), а HOSTKEY **режет исходящий TCP/22**. → `ssh root@151.243.217.139` с code-server виснет (timeout). С Mac работает (выходит напрямую). Диагностика: `ip route get 151.243.217.139` → `dev wt0 table netbird` = идёт через exit-node.
|
||
**Фикс (хирургический, exit-node не трогаем) — пустить только FR-ноду мимо exit-node через домашний шлюз:**
|
||
```sh
|
||
ip route add 151.243.217.139/32 via 10.0.0.1 dev eth0
|
||
```
|
||
После этого `ssh root@151.243.217.139` работает. ⚠️ Маршрут **не переживёт reboot code-server** — повторить после перезагрузки (или закрепить через netbird hook / постоянный route).
|
||
*(Проверка 2026-06-02: нода жива, `amnezia-awg2` Up, UDP 44221 слушает, egress=FR, пиры 10.8.1.1/.2/.3 с живыми handshakes.)*
|
||
|
||
## Прочее
|
||
- **SOCKS-тест гео** (временный): `ssh -D 1080 root@151.243.217.139` → проверка myCanal/france.tv реальным браузером через FR-выход. Снести после.
|
||
- NetBird диаг-ключ Claude-Diag **истёк** 2026-05-21 → перевыпустить при переэнролле роутера ([[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]).
|