Files

dttb 9c7c3fc23e Решение: podkop для Бужарово — Cudy TR3000 во главе (Вариант B), WR6500H→AP; роутер опознан, разведка + миграция

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

2026-06-22 15:01:36 +03:00

8.2 KiB

Raw Blame History

date, type, tags

date

type

Podkop для Бужарово — TR3000 во главе (обход блокировок, цель Telegram)

Контекст

Нужен обход блокировок РКН на объекте Бужарово (стройрынок projects/buzharovo/README), основная цель — рабочий Telegram на устройствах персонала. Объект — боевая розница: projects/buzharovo/server1c (192.168.1.249) + кассы 192.168.1.18/192.168.1.99 (ОФД-трафик). Канонический стек обхода у Олега — snippets/podkop-reference на роутерах Cudy.

Олег рассматривал два пути: (1) Cudy с podkop перед текущим роутером; (2) OpenWrt на гипервизоре/Windows-сервере, как в projects/niikn/openwrt-bypass.

Разведка сети (что выяснили)

Заходил на роутер 192.168.1.1 через Server1C (WinRM jump, dttb/1qaz!QAZ, plink по SSH). Ключевые находки:

Грабля диагностики: из Server1C НЕЛЬЗЯ зондировать Бужарово по 192.168.1.x — подсеть совпадает с НИИКН (тоже 192.168.1.0/24), и NetBird-маршрут (wt0) уводит туда. Find-NetRoute для .1/.18/.50/.99 → ifIndex wt0. Поэтому «.1 = RouterOS ROSSSH, admin/пустой пароль, порт 2000» и «.50 = OpenWrt dropbear» — это MikroTik и VM101 НИИКН через NetBird-утечку, НЕ Бужарово. Реальные хосты Бужарово видны только по настоящим MAC в arp -a.
Доступ к настоящему роутеру получен через L2: на Server1C добавил непостоянный host-route New-NetRoute 192.168.1.1/32 -InterfaceIndex 12 -NextHop 0.0.0.0 -PolicyStore ActiveStore → пакеты на .1 пошли по локальному LAN (MAC 80:af:ca = Cudy), интернет сервера не пострадал. Маршрут потом убран.
Роутер Бужарово = Cudy WR6500H (Wi-Fi 7 / BE6500), сток на базе OpenWrt 21.02 (vendor-LuCI Cudy git-25.217, fw 2.3.15 от 07.08.2025). Публичный WAN 185.13.47.2: открыты 443 (LuCI), 3389 (RDP→Server1C), 53 (DNS); SSH/22 закрыт и на WAN, и на LAN. LuCI-логин Cudy хэширует пароль sha256(pw+salt) в браузере + самоподписанный серт → headless-вход не проходит (403 = схема, не «неверный пароль»).

Варианты

podkop на самом WR6500H — ❌. Wi-Fi 7 mainline OpenWrt не поддерживает (vanilla-образа нет, рефлаш невозможен), на стоке 21.02 sing-box/AmneziaWG не встанут, SSH выключен.
OpenWrt на гипервизоре / Hyper-V на Server1C (как НИИКН) — ❌. У Бужарово нет ни выделенного Proxmox, ни управляемого роутера, на которых держится схема НИИКН. Server1C — боевой Win2012R2 без ИБП (24+ краша/день), вешать на него сеть нельзя. Плюс объект мигрируют на HomeLab.
Отдельная Cudy TR3000 с podkop, параллельно (Вариант A) — WR6500H остаётся шлюзом, на нём route 198.18.0.0/15 → TR3000 + DHCP DNS = TR3000. Рабочий, без double-NAT, но требует доступа к залоченному WR6500H LuCI.
Отдельная Cudy TR3000 во главе (Вариант B) — ✅ TR3000 = шлюз (NAT+DHCP+DNS+podkop), WR6500H → точка доступа (bridge, Wi-Fi 7 остаётся).

Решение

Вариант B — Cudy TR3000 во главе. Выбор Олега: подкоп на самом шлюзе — простейшая и крепкая FakeIP-схема (как Sergey/Benelux/Olivier), не нужен хэндоф маршрут+DNS и доступ к залоченному WR6500H, меньше точек коллизий.

Двойного NAT не будет при условии: WR6500H перевести в режим AP/bridge (не router). Тогда единственный NAT — на TR3000, WR6500H лишь раздаёт Wi-Fi 7.

flowchart LR
  NET([🌐 Internet]) --> TR[Cudy TR3000 · ШЛЮЗ<br/>podkop · DHCP · DNS<br/>LAN 192.168.1.1 · awg0→FI/SG]
  subgraph LAN["LAN 192.168.1.0/24 — адресацию сохраняем"]
    AP[WR6500H · режим AP/bridge<br/>Wi-Fi 7, без NAT]
    S[Server1C .249]
    K[Кассы .18 / .99 · ОФД]
  end
  TR --> LAN
  S -. ОФД/1С/банки → напрямую .-> TR
  classDef r fill:#3d2817,stroke:#d97757,color:#fff
  class TR r

Конфиг podkop (по канону snippets/podkop-reference):

Списки точечно telegram (+meta/youtube по нужде). ⛔ НЕ russia_inside/russia_outside.
connection_type=vpn, interface=awg0, disable_quic=1, awg0 в firewall WAN-зоне.
EXIT зарубежный (FI 78.17.4.225 или SG 202.71.12.186), новый AWG-peer (свои ключи/IP, не переиспользовать НИИКН).
Безопасность для розницы: точечные списки заворачивают в туннель ТОЛЬКО telegram-домены → кассы/ОФД/1С/банки идут напрямую (не через зарубежный выход).

План миграции (минимум простоя)

TR3000 настроить на столе: LAN 192.168.1.1/24, DHCP (статика касс/сервера сохранена), podkop как выше.
WR6500H → AP/bridge (DHCP off, патч-корд LAN-порт → TR3000), Wi-Fi 7 сохранить.
Перецепить WAN (2.5G-аплинк) из WR6500H в 2.5G-порт TR3000. Если ISP биндит IP к MAC — склонировать MAC WR6500H на WAN TR3000.
Проброс 3389 (RDP) НЕ восстанавливать — доступ к серверу только через NetBird.
Проверка: nslookup telegram.org 127.0.0.42 → 198.18.x; домен кассы/ОФД → реальный IP; wg handshake awg0 свежий.

Последствия / открытые вопросы

Нужна свободная Cudy TR3000 (прошить vanilla OpenWrt — деплой Олега). Олег ставит готовый сервер, Claude даёт конфиг.
Подтвердить EXIT (FI/SG) — под него поднять AWG-peer.
Уточнить: публичный 185.13.47.2 статический и привязан ли к MAC роутера у провайдера.
WR6500H оставить как AP (ради Wi-Fi 7) или снять.
RDP 3389 — увести в NetBird (рекомендовано) или оставить публичный проброс.

Побочные проблемы (отдельно от podkop, но важные):

⚠️ Коллизия подсетей Бужарово↔НИИКН (обе 192.168.1.0/24) через NetBird на Server1C — мина для диагностики и будущей связки podkop/NetBird. Переадресовать один объект или сузить NetBird-маршруты.
⚠️ WAN светит 443 (LuCI) и 3389 (RDP) в интернет — закрыть, увести в NetBird.

Ссылки

snippets/podkop-reference — канон podkop (списки, грабли, конфиг)
projects/buzharovo/server1c · projects/buzharovo/README
projects/niikn/openwrt-bypass — образец параллельной схемы (НИИКН)
decisions/2026-05-29-niikn-diadoc-ozon-fix — урок про russia_outside

8.2 KiB Raw Blame History Unescape Escape