oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
main
knowledge-base/projects/peredelki/README.md
dttb bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-29 12:33:03 +03:00

106 lines
9.5 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-04-16
updated: 2026-05-27
type: project
status: offline
tags: [object, openwrt, netbird, unifi, podkop, peredelki]
aliases: [Peredelki, Переделки, OpenWrt_Peredelki, peredelki, "Переделкино"]
---
# Переделки — OpenWrt + UniFi за NetBird
Объект на 192.168.2.0/24 с маршрутизатором на OpenWrt и UniFi-сегментом (Switch + 3 AP). Назначения два: **обход блокировок через podkop** и **точки доступа Ubiquiti**, контроллер для которых живёт удалённо на LXC 116 в НИИКН и связан с объектом через NetBird-мост.
> ⚠️ **На 2026-05-27 объект полностью оффлайн.** NetBird-пир `openwrt-peredelki` не подключается с **2026-05-08T10:56 UTC** (19+ дней). Причина не выяснена — питание/WAN/агент/железо. Подробнее в разделе «История».
## Контакт
| | |
|---|---|
| Клиент | TODO — уточнить у Олега |
| Локация | Переделки (Москва, по NetBird geo: 55.75/37.62) |
| Группа NetBird | `Glavtorg` (исторически; ACL-группа Главторга) |
## Роутер
| Параметр | Значение |
|---|---|
| Модель | OpenWrt-роутер (модель не зафиксирована, скорее всего Cudy TR3000 как в Бенелюксе/Красногорске) |
| Hostname | `OpenWrt_Peredelki` |
| OpenWrt | 24.10.3, kernel 6.6.104 |
| NetBird IP | `100.70.197.125` (`openwrt-peredelki.netbird.cloud`, peer `d7fug7rl0ubs73b5r36g`, агент 0.59.13, группы `All`, `Glavtorg`) |
| WAN | последний connection_ip `193.39.160.231` (RU, Moscow) |
| LAN | `192.168.2.0/24` на `br-lan` (изначально было `192.168.1.0/24`, мигрировали 2026-04-16 из-за конфликта с НИИКН) |
| DNS-override | `unifi → 192.168.2.1` (uci dhcp.@domain) — auto-discovery для UniFi AP после factory reset |
| SSH | root / `1qaz!QAZ` (на момент last seen — паролем; статус key-auth неизвестен, см. [[credentials]]) |
## Что работает в сети
### На OpenWrt
- **podkop** + sing-box + AmneziaWG (`awg0`) + VLESS-proxy `202.71.12.186`:
- Списки: `russia_inside`, `meta`, `telegram`
- DoH: `8.8.8.8`, FakeIP включён, QUIC отключён (`disable_quic=1`)
- **Фикс конфликта nft mangle** с NetBird: chain `PodkopTable.mangle` сдвинут на priority `-140` (вместо штатного `-150`). См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
- **Guard** от регрессии после `opkg upgrade podkop`: `/usr/sbin/podkop-prio-guard` в crontab `*/2` + `(sleep 30 && ...)` в `/etc/rc.local`. Лог: `logread | grep podkop-prio-guard`.
- Авто-старт sing-box: `/etc/init.d/sing-box enable`, `shutdown_correctly=1`
- **NetBird** для удалённого доступа (`100.70.197.125`)
- **Socat-proxy** для UniFi-устройств → контроллер в НИИКН (persistent через `/etc/init.d/unifi-proxy`):
- TCP 8080 → `100.70.138.234:8080` (inform)
- TCP 8443 → `100.70.138.234:8443` (web UI)
- UDP 3478 → `100.70.138.234:3478` (STUN)
> Почему socat, а не DNAT: DNAT через NetBird ломал inform-пакеты (MTU 1280 vs 1500, «Content too short / Bad packet magic»). Решено через application-level forwarding.
- **NAT в LAN** для трафика контроллер→устройства: `iifname wt0 oifname br-lan masquerade` (init script) + `firewall.netbird.masq=1`
### NetBird route
- `192.168.2.0/24` → peer `openwrt-peredelki` (route id `d7giigifadhs73djobr0`, network_id `Peredelki`, masquerade=true, metric 9999, группа `All`)
- Цель: позволяет UniFi-контроллеру SSH к устройствам Переделок для provisioning
### UniFi-сегмент за OpenWrt
Контроллер — **LXC 116 на pve-niikn** (`unifi-controller`, IP в LAN НИИКН `192.168.1.84`, NetBird `100.70.138.234`), Docker `ghcr.io/linuxserver/unifi-network-application:latest` + MongoDB с bind-mount `/opt/unifi/config:/config` (без этого база сбрасывалась при рестарте — anonymous volume). Admin: SSO `batlaew@yandex.ru` через UI.com. Сайт: `default`.
Adopted-устройства в базе контроллера на 2026-05-27 (`db.device.find`):
| IP | MAC | Модель | FW | adopted |
|---|---|---|---|---|
| `192.168.2.109` | `d8:b3:70:84:0f:05` | USW-Lite-16-PoE (`USL16LPB`) | 7.2.123 | ✓ |
| `192.168.2.146` | `1c:0b:8b:70:de:1e` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.227` | `1c:0b:8b:70:e2:41` | U7 In-Wall (`UAPA6A5`) | 7.2.5 | ✓ |
| `192.168.2.178` | `a8:9c:6c:d2:d9:0b` | U6 Pro (`UAPA6B3`) | 8.0.35 | ✓ |
> Live-status (state/last_seen) на момент проверки получить не удалось — устройства не присылают inform с 2026-05-08 (OpenWrt оффлайн, socat-proxy не работает). В логах `/config/logs/server.log*` за последние 5 дней — ни одного события от MAC-ов Переделок, только «not found in devbasic cache» после рестарта контроллера 2026-05-26.
### WiFi
- SSID: `Ubnt`, WPA2, пароль: `1234567a` (см. [[credentials]])
### SSH к UniFi-устройствам
Учётка для managed devices: `batlaew / 20iPUHpzpMXnp9Rx` (после factory reset — `ubnt / ubnt`).
## Конфликт подсетей
`192.168.2.0/24` пересекается с **Красногорском** ([[../krasnogorsk/README]], Cudy TR3000 за Deco P9, NetBird `100.70.152.137`). Конфликт только на mesh-уровне (если оба пира одновременно анонсируют /24) — на текущий момент анонсирует только Переделки (`Peredelki`, metric 9999). При работе через NetBird к хостам Переделок ходи по NetBird-IP пира (`100.70.197.125`), не по LAN-IP.
Параллельно с `192.168.2.0/24` в NetBird mesh присутствуют:
- `192.168.1.0/24` от pve-niikn (НИИКН) и nbgw-glavtorg (Главторг)
- `192.168.1.0/24` от Бенелюкса (без анонса — конфликт раньше был, см. [[../../decisions/2026-05-20-benelux-compromise#netbird-route-—-niikn-остаётся-в-mesh]])
## История
- **2026-04-15** — пир OpenWrt_Peredelki создан в NetBird (`d7fug7rl0ubs73b5r36g`)
- **2026-04-16** — миграция UniFi-контроллера с **Orange Pi (Мичуринец, 192.168.1.10)** на LXC 116 НИИКН; LAN объекта сменён `192.168.1.0/24 → 192.168.2.0/24`; adopted Switch + U7-IW после factory-reset; socat-proxy и NetBird route собраны. См. [[../../decisions/2026-04-16-unifi-migration-peredelki]].
- **2026-04-17** — `podkop` не работал (FakeIP резолвится, но TCP в `SYN_SENT`); корневая причина — конфликт chain priority с NetBird на hook `prerouting priority mangle (-150)`. Подняли priority Podkop'а до `-140`, поставили guard. См. [[../../decisions/2026-04-17-peredelki-podkop-stability-fix]].
- **2026-04-17** — добавлен DNS-override `unifi → 192.168.2.1` для авто-discovery; новая точка `1c:0b:8b:70:e2:41` (192.168.2.227) — pending adoption.
- **2026-05-08T10:56 UTC** — **пир ушёл в offline.** Причина не выяснена. UniFi-устройства Переделок тоже перестали слать inform на контроллер (логично — socat-proxy умер вместе с роутером).
- **2026-05-27** — попытка диагностики удалённо: ICMP по NetBird = 100% loss; `connected=false` в NetBird API; UniFi-устройства в Mongo — adopted, но в логах ни одного inform за последние 4 дня.
## Что проверить / починить
- [ ] **Связаться с клиентом / выехать** — узнать включён ли роутер, есть ли WAN на объекте. Это самый частый кейс при таком long-tail offline.
- [ ] После возврата — проверить настроен ли SSH key-auth (после инцидента Бенелюкса в [[../../decisions/2026-05-20-benelux-compromise]] — `1qaz!QAZ` на роутере с WAN-доступом критично опасен; если на Переделках dropbear выходит на WAN — закрыть).
- [ ] Проверить актуальность group `Glavtorg` для этого пира — историческая или нужна (ACL).
- [ ] Прошить актуальный sysupgrade (24.10.x → ...) когда вернётся в строй.
- [ ] U6 LR и U6+ — в 2026-04-16 был TODO «подключить когда запитаются». В текущей базе их нет, только U7-IW и UAPA6B3. Возможно демонтированы или никогда не подключены.
## Aliases для FTS
`Переделки`, `Peredelki`, `OpenWrt_Peredelki`, `openwrt-peredelki`, `100.70.197.125`, `192.168.2.0/24`, `Peredelki LAN`, `d7fug7rl0ubs73b5r36g`.
Reference in New Issue View Git Blame Copy Permalink