11 KiB
date, type, status, tags, aliases
| date | type | status | tags | aliases | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2026-06-02 | credentials | active |
|
|
OpenWrt_4 / Оливье — креды
Клиент: Оливье (француз, Москва). Роутер Cudy TR3000 = NetBird
olivier-cudy(olivier-cudy.netbird.cloud; имя былоOpenWrt_4). Французская выходная нода для обхода РКН + Canal+. Рунбук: canal-plus-setup-runbook · проект: README.
Французский VPS — выходная нода (HOSTKEY Paris)
| Параметр | Значение |
|---|---|
| IP | 151.243.217.139 |
| Hostname | fr-vmnano |
| Провайдер / ASN | HOSTKEY B.V. AS57043, Paris PAR3 (Vélizy) |
| Гео | FR (Paris) — MaxMind/ipinfo/geojs = FR; RIPE inetnum зарегистрирован NL (лизованный блок, гео «догоняет»); ip-api протухший US |
| OS / virt | Ubuntu 22.04.5 LTS, KVM, /dev/net/tun ✓ |
| Ресурсы | 2 vCPU / 1.8 GB RAM / 58 GB NVMe |
| SSH | ssh root@151.243.217.139 пароль jIKk7U-Vn- |
AmneziaWG-сервер (развёрнут приложением AmneziaVPN, 2026-06-02)
- Docker-контейнер
amnezia-awg2, слушает UDP 44221 (0.0.0.0:44221). - Протокол AmneziaWG 1.5 (продвинутая обфускация: H-диапазоны, S3/S4, I1 = iCloud-mimic). ⚠️ совместимость с OpenWrt — см. ниже.
- Файлы в контейнере:
/opt/amnezia/awg/awg0.conf,wireguard_*_key.key,clientsTable.
Ключи сервера
| Server PublicKey | wyN+ob6bWvDsBHw6gVBO11YmpG1kYVO6OqnGtwJx5zs= |
| Server PrivateKey | cG1x+PTnszCDjQxqkzR7vKNI2vMRnwKdfMnD2Eo0s24= |
| PresharedKey (общий на всех пиров) | eRtyuG6UdQqKxKK/lmWkosR3n0PUNUH9u45CXVNnsS8= |
| Endpoint (для клиентов) | 151.243.217.139:44221 |
| Внутренняя сеть | 10.8.1.0/24 |
Обфускация (должна 1:1 совпадать на клиенте)
Jc=5 Jmin=10 Jmax=50
S1=97 S2=99 S3=63 S4=7
H1=525652870-1032659689
H2=2143742042-2146202402
H3=2146939599-2147410002
H4=2147455965-2147472644
I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c000100010000105a00044d583737> # фейк-DNS под icloud.com
Пиры (clientsTable)
| IP | Имя | PublicKey | Чей |
|---|---|---|---|
| 10.8.1.1 | Admin [macOS Tahoe 26.5] | UP9e4STNvLh8nDR2A13YBN0OGbKzTng7c9dK/TvnFic= |
Mac Олега |
| 10.8.1.2 | Admin [iOS 26.5] | gKXG3SMO+wzkASo3MIqhXNtmngRr6Hq5q9uSZFK+AE8= |
iPhone Олега |
| 10.8.1.3 | Cudy Оливье ✅ | rbAob0v1xZFrehdDyBokOoOp89GEt7UJcoq7aqoD6Hk= |
роутер Оливье (подтверждено: awg0 работает, FR) |
Клиентские приватные ключи только в экспортах приложения AmneziaVPN (на сервере лежат лишь pubkey пиров). Для UCI-блока Cudy нужен экспорт клиента 10.8.1.3 (там его PrivateKey + Endpoint + обфускация).
Совместимость с OpenWrt (Cudy) — ✅ РЕШЕНО
Сервер на AWG 1.5 (S3/S4 + H-диапазоны + I1-пакеты). На Cudy luci-proto-amneziawg 2.0.4 + kmod-amneziawg 6.6.104.1.0.20250924 — 1.5 поддерживается (proto знает awg_s3/s4, awg_i1..i5, H-диапазоны), конфиг встал как есть, handshake ОК. Обновлять/упрощать не понадобилось.
Роутер Cudy TR3000 (NetBird olivier-cudy) — обновлено 2026-06-16
| Параметр | Значение |
|---|---|
| NetBird пир / IP | olivier-cudy (olivier-cudy.netbird.cloud) → 100.70.194.241 (имя было OpenWrt_4, IP был 100.70.235.2 — сменились при переэнролле 06-09) |
| WiFi (для клиентов) | SSID OpenWrt (оба диапазона), пароль Romane1993, psk2 |
| SSH | ssh root@100.70.194.241 пароль 1qaz!QAZ (подтверждён) |
| LuCI (по NetBird) | http://100.70.194.241/ root/1qaz!QAZ — правило Allow-LuCI-NetBird (tcp 80/443 ← 100.70.0.0/16, НЕ в WAN) |
| LAN | 192.168.50.1/24 (br-lan = порт eth1 + WiFi; было 192.168.10.1, сменилось при ресете 06-09; дефолт 192.168.1.1 коллизил с провайдером) |
| WAN | eth0 DHCP за роутером провайдера 192.168.1.1/24 (двойной NAT), публичный 109.252.x Москва |
| OpenWrt / extroot | 24.10.3; extroot на USB sda1 (Kingston → /overlay, ~3% занято; было sda4 до ресета 06-09) |
| amneziawg | luci-proto-amneziawg 2.0.4 + kmod 6.6.104.1.0.20250924 — AWG 1.5 поддерживается ✅ |
| awg0 | клиент 10.8.1.3 → 151.243.217.139:44221, handshake ОК, выход FR |
| podkop | v0.7.19: meta/youtube/telegram + user_domains Canal+ (canalplus.com canal-plus.com mycanal.fr canalplus.pro canal-plus.net); disable_quic=1 |
| IPv6 | LAN отключён (ra/dhcpv6=disabled) — против утечки мимо FakeIP |
Лог выезда 2026-06-03 (всё через NetBird, Олег удалённо)
- Сброс роутера → extroot слетел из fstab; восстановил запись (uuid sda4 → /overlay) — ребут снова безопасен.
- Коллизия LAN/WAN (оба
192.168.1.x) → не было интернета → сменил LAN на192.168.10.1(ifup lan, не ребут) → инет вернулся. - LuCI по NetBird (правило-зеркало SSH-правила, только
100.70.0.0/16). - awg0 (AWG 1.5) поднялся → FR; podkop с правильными списками; Canal+-домены добавлены в user_domains → FakeIP (sing-box/dnsmasq кэш чистил).
- IPv6 на LAN вырублен.
- Бэкапы у меня:
cudy-olivier-config-backup.tar.gz(+ netbird/config.json).
- ⏳ Осталось: Оливье тестит myCanal (плей); устройство
Glavnaa-spalna(8c:26:aa:c0:c1:d0) застряло на старом192.168.1.189— переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку. → ✅ pbr настроен 06-16, см. ниже.
Сессия 2026-06-16 — диагностика «постоянных проблем» + Canal+ prep
Жалоба: на роутере MGTS инет ок, на Cudy — постоянные обрывы. Причина самодельная, НЕ MGTS (линк до gw 192.168.1.1 = 0% потерь, eth0 без ошибок). Два корня, оба устранены:
/root/agent/watchdog.sh(cron*/2) рестартил sing-box каждые 2 мин — кривой liveness-чекpgrep -f podkop(podkop не демон, конфигурит sing-box и выходит). Фикс →pgrep -f 'sing-box run'./usr/bin/wan-failover.sh(cron* *+ rc.local) гнал весь дом через Францию (awg0 primary) по ложной гипотезе «MGTS флапает». Реверс → WAN-primary: main default via192.168.1.1, podkop селективно (meta/youtube/telegram + Canal+) → Франция, РФ-сайты напрямую. Egress общий109.252.139.178(MGTS), awg0151.243.217.139(FR).- ⚠️ Скрипты
/root/agent/*(watchdog/heartbeat) ведёт автономный агент → может перезатереть фикс watchdog при своём деплое. Если вернётся цикл — чинить в источнике агента.
Apple TV → Франция (Canal+) — настроено заранее, persistent (UCI, подтверждено netifd proto static):
- Статлиз
8C:26:AA:C0:C1:D0 → 192.168.50.189(dhcp.atv_host). - pbr целиком во Францию:
ip rule 106 from 192.168.50.189 → table 100(192.168.50.0/24 dev br-lan+default dev awg0); firewall forwardinglan→awg0. Реальные IP приставки → awg0; FakeIP-домены (Canal+/yt/tg) → podkop TPROXY (mark 0x100000, prio 105) → sing-box → awg0. Провереноip route get ... from 192.168.50.189. - IPv6 LAN снова off (
dhcp.lan.ra/dhcpv6=disabled— откатывался при ресете). - Топология: приставка сейчас на стороне MGTS (
eth0-сегмент), за Cudy вообще никто не подключён (dhcp.leases пуст, WiFi assoclist пуст, eth1 NO-CARRIER). Дом сидит на WiFi MGTS. - Нужно от клиента: подключить Apple TV к WiFi Cudy
OpenWrt/Romane1993(или кабель в LAN) + удалить профиль ExpressVPN (kill-switch рубит инет) → тест Canal+. Если гео-блок останется — дотюнить вживую с подключённой приставкой.
Бэкап конфигов до правок: /root/backup-20260616-routerfix/ (network/dhcp/firewall/wireless + agent/ + wan-failover.sh).
⚠️ SSH на FR-ноду с code-server (LXC 132) — нужен обходной маршрут
Проблема: интернет code-server завёрнут через NetBird exit-node finland5870.com (HOSTKEY, egress 202.71.12.186), а HOSTKEY режет исходящий TCP/22. → ssh root@151.243.217.139 с code-server виснет (timeout). С Mac работает (выходит напрямую). Диагностика: ip route get 151.243.217.139 → dev wt0 table netbird = идёт через exit-node.
Фикс (хирургический, exit-node не трогаем) — пустить только FR-ноду мимо exit-node через домашний шлюз:
ip route add 151.243.217.139/32 via 10.0.0.1 dev eth0
После этого ssh root@151.243.217.139 работает. ⚠️ Маршрут не переживёт reboot code-server — повторить после перезагрузки (или закрепить через netbird hook / постоянный route).
(Проверка 2026-06-02: нода жива, amnezia-awg2 Up, UDP 44221 слушает, egress=FR, пиры 10.8.1.1/.2/.3 с живыми handshakes.)
Прочее
- SOCKS-тест гео (временный):
ssh -D 1080 root@151.243.217.139→ проверка myCanal/france.tv реальным браузером через FR-выход. Снести после. - NetBird диаг-ключ Claude-Diag истёк 2026-05-21 → перевыпустить при переэнролле роутера (../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag).