knowledge-base/projects/peredelki

date, updated, type, status, tags, aliases

date	updated	type	status	tags	aliases
2026-04-16	2026-05-27	project	offline	object openwrt netbird unifi podkop peredelki	Peredelki Переделки OpenWrt_Peredelki peredelki Переделкино

Переделки — OpenWrt + UniFi за NetBird

Объект на 192.168.2.0/24 с маршрутизатором на OpenWrt и UniFi-сегментом (Switch + 3 AP). Назначения два: обход блокировок через podkop и точки доступа Ubiquiti, контроллер для которых живёт удалённо на LXC 116 в НИИКН и связан с объектом через NetBird-мост.

⚠️ На 2026-05-27 объект полностью оффлайн. NetBird-пир openwrt-peredelki не подключается с 2026-05-08T10:56 UTC (19+ дней). Причина не выяснена — питание/WAN/агент/железо. Подробнее в разделе «История».

Контакт

Клиент	TODO — уточнить у Олега
Локация	Переделки (Москва, по NetBird geo: 55.75/37.62)
Группа NetBird	Glavtorg (исторически; ACL-группа Главторга)

Роутер

Параметр	Значение
Модель	OpenWrt-роутер (модель не зафиксирована, скорее всего Cudy TR3000 как в Бенелюксе/Красногорске)
Hostname	OpenWrt_Peredelki
OpenWrt	24.10.3, kernel 6.6.104
NetBird IP	100.70.197.125 (openwrt-peredelki.netbird.cloud, peer d7fug7rl0ubs73b5r36g, агент 0.59.13, группы All, Glavtorg)
WAN	последний connection_ip 193.39.160.231 (RU, Moscow)
LAN	192.168.2.0/24 на br-lan (изначально было 192.168.1.0/24, мигрировали 2026-04-16 из-за конфликта с НИИКН)
DNS-override	unifi → 192.168.2.1 (uci dhcp.@domain) — auto-discovery для UniFi AP после factory reset
SSH	root / 1qaz!QAZ (на момент last seen — паролем; статус key-auth неизвестен, см. credentials)

Что работает в сети

На OpenWrt

• podkop + sing-box + AmneziaWG (awg0) + VLESS-proxy 202.71.12.186:
  • Списки: russia_inside, meta, telegram
  • DoH: 8.8.8.8, FakeIP включён, QUIC отключён (disable_quic=1)
  • Фикс конфликта nft mangle с NetBird: chain PodkopTable.mangle сдвинут на priority -140 (вместо штатного -150). См. ../../decisions/2026-04-17-peredelki-podkop-stability-fix.
  • Guard от регрессии после opkg upgrade podkop: /usr/sbin/podkop-prio-guard в crontab */2 + (sleep 30 && ...) в /etc/rc.local. Лог: logread | grep podkop-prio-guard.
  • Авто-старт sing-box: /etc/init.d/sing-box enable, shutdown_correctly=1
• NetBird для удалённого доступа (100.70.197.125)
• Socat-proxy для UniFi-устройств → контроллер в НИИКН (persistent через /etc/init.d/unifi-proxy):
  • TCP 8080 → 100.70.138.234:8080 (inform)
  • TCP 8443 → 100.70.138.234:8443 (web UI)
  • UDP 3478 → 100.70.138.234:3478 (STUN)

  Почему socat, а не DNAT: DNAT через NetBird ломал inform-пакеты (MTU 1280 vs 1500, «Content too short / Bad packet magic»). Решено через application-level forwarding.

• NAT в LAN для трафика контроллер→устройства: iifname wt0 oifname br-lan masquerade (init script) + firewall.netbird.masq=1

NetBird route

• 192.168.2.0/24 → peer openwrt-peredelki (route id d7giigifadhs73djobr0, network_id Peredelki, masquerade=true, metric 9999, группа All)
• Цель: позволяет UniFi-контроллеру SSH к устройствам Переделок для provisioning

UniFi-сегмент за OpenWrt

Контроллер — LXC 116 на pve-niikn (unifi-controller, IP в LAN НИИКН 192.168.1.84, NetBird 100.70.138.234), Docker ghcr.io/linuxserver/unifi-network-application:latest + MongoDB с bind-mount /opt/unifi/config:/config (без этого база сбрасывалась при рестарте — anonymous volume). Admin: SSO batlaew@yandex.ru через UI.com. Сайт: default.

Adopted-устройства в базе контроллера на 2026-05-27 (db.device.find):

IP	MAC	Модель	FW	adopted
192.168.2.109	d8:b3:70:84:0f:05	USW-Lite-16-PoE (USL16LPB)	7.2.123	✓
192.168.2.146	1c:0b:8b:70:de:1e	U7 In-Wall (UAPA6A5)	7.2.5	✓
192.168.2.227	1c:0b:8b:70:e2:41	U7 In-Wall (UAPA6A5)	7.2.5	✓
192.168.2.178	a8:9c:6c:d2:d9:0b	U6 Pro (UAPA6B3)	8.0.35	✓

Live-status (state/last_seen) на момент проверки получить не удалось — устройства не присылают inform с 2026-05-08 (OpenWrt оффлайн, socat-proxy не работает). В логах /config/logs/server.log* за последние 5 дней — ни одного события от MAC-ов Переделок, только «not found in devbasic cache» после рестарта контроллера 2026-05-26.

WiFi

• SSID: Ubnt, WPA2, пароль: 1234567a (см. credentials)

SSH к UniFi-устройствам

Учётка для managed devices: batlaew / 20iPUHpzpMXnp9Rx (после factory reset — ubnt / ubnt).

Конфликт подсетей

192.168.2.0/24 пересекается с Красногорском (../krasnogorsk/README, Cudy TR3000 за Deco P9, NetBird 100.70.152.137). Конфликт только на mesh-уровне (если оба пира одновременно анонсируют /24) — на текущий момент анонсирует только Переделки (Peredelki, metric 9999). При работе через NetBird к хостам Переделок ходи по NetBird-IP пира (100.70.197.125), не по LAN-IP.

Параллельно с 192.168.2.0/24 в NetBird mesh присутствуют:

• 192.168.1.0/24 от pve-niikn (НИИКН) и nbgw-glavtorg (Главторг)
• 192.168.1.0/24 от Бенелюкса (без анонса — конфликт раньше был, см. ../../decisions/2026-05-20-benelux-compromise#netbird-route-—-niikn-остаётся-в-mesh)

История

• 2026-04-15 — пир OpenWrt_Peredelki создан в NetBird (d7fug7rl0ubs73b5r36g)
• 2026-04-16 — миграция UniFi-контроллера с Orange Pi (Мичуринец, 192.168.1.10) на LXC 116 НИИКН; LAN объекта сменён 192.168.1.0/24 → 192.168.2.0/24; adopted Switch + U7-IW после factory-reset; socat-proxy и NetBird route собраны. См. ../../decisions/2026-04-16-unifi-migration-peredelki.
• 2026-04-17 — podkop не работал (FakeIP резолвится, но TCP в SYN_SENT); корневая причина — конфликт chain priority с NetBird на hook prerouting priority mangle (-150). Подняли priority Podkop'а до -140, поставили guard. См. ../../decisions/2026-04-17-peredelki-podkop-stability-fix.
• 2026-04-17 — добавлен DNS-override unifi → 192.168.2.1 для авто-discovery; новая точка 1c:0b:8b:70:e2:41 (192.168.2.227) — pending adoption.
• 2026-05-08T10:56 UTC — пир ушёл в offline. Причина не выяснена. UniFi-устройства Переделок тоже перестали слать inform на контроллер (логично — socat-proxy умер вместе с роутером).
• 2026-05-27 — попытка диагностики удалённо: ICMP по NetBird = 100% loss; connected=false в NetBird API; UniFi-устройства в Mongo — adopted, но в логах ни одного inform за последние 4 дня.

Что проверить / починить

• Связаться с клиентом / выехать — узнать включён ли роутер, есть ли WAN на объекте. Это самый частый кейс при таком long-tail offline.
• После возврата — проверить настроен ли SSH key-auth (после инцидента Бенелюкса в ../../decisions/2026-05-20-benelux-compromise — 1qaz!QAZ на роутере с WAN-доступом критично опасен; если на Переделках dropbear выходит на WAN — закрыть).
• Проверить актуальность group Glavtorg для этого пира — историческая или нужна (ACL).
• Прошить актуальный sysupgrade (24.10.x → ...) когда вернётся в строй.
• U6 LR и U6+ — в 2026-04-16 был TODO «подключить когда запитаются». В текущей базе их нет, только U7-IW и UAPA6B3. Возможно демонтированы или никогда не подключены.

Aliases для FTS

Переделки, Peredelki, OpenWrt_Peredelki, openwrt-peredelki, 100.70.197.125, 192.168.2.0/24, Peredelki LAN, d7fug7rl0ubs73b5r36g.