oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
15ecf46a4a48258d026364a77d670f1576500f9c
knowledge-base/projects/sergey/README.md
dttb bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-29 12:33:03 +03:00

119 lines
6.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-05-12
type: project
status: active
tags: [object, openwrt, netbird, client, podkop, amneziawg]
aliases: [Sergey, sergey, OpenWrt_Sergey, Одинцово, Cudy_TR3000_Sergey]
---
# Sergey — клиентский OpenWrt
Один из выездных OpenWrt-роутеров (домашний / клиентский) с подкоп-обходом РКН. Диагностирован 2026-05-12.
## Доступ
| Параметр | Значение |
|---|---|
| Имя пира NetBird | `OpenWrt_Sergey` |
| NetBird IP | `100.70.110.164` |
| Локация | Одинцово |
| SSH | `ssh root@100.70.110.164` пароль `1qaz!QAZ` (только через NetBird, в LAN-провайдере не светится) |
| LuCI | http://192.168.1.1 (только из LAN) |
| Clash API | `192.168.1.1:9090` (только из LAN) |
## Железо
| Параметр | Значение |
|---|---|
| Модель | **Cudy TR3000 v1** (MediaTek Filogic 820, MT7981) |
| Архитектура | `aarch64_cortex-a53` |
| OpenWrt | 24.10.3 `r28872-daca7c049b`, target `mediatek/filogic` |
| Uptime (2026-05-12) | 57 дней |
## Сеть
- **WAN** `eth0` — внутри провайдерского сегмента **192.168.0.0/24**, IP `192.168.0.136`, gateway `192.168.0.1` (двойной NAT — за провайдерским роутером).
- **LAN** `br-lan` 192.168.1.0/24, роутер 192.168.1.1.
- **Внешний публичный IP без VPN**: `217.73.118.172` (NetByNet, РФ).
- **Внешний IP через awg0**: `202.71.12.186` (Singapore VPS, общий VLESS endpoint Олега).
- **NetBird** `wt0` 100.70.110.164/16.
## Установлено
| Пакет | Версия | Назначение |
|---|---|---|
| podkop / luci-app-podkop | v0.7.14-r1 | управляющая обвязка обхода (sing-box + nft + rule_sets) |
| sing-box | 1.12.12-r1 | tproxy на 127.0.0.1:1602, FakeIP `198.18.0.0/15` |
| kmod-amneziawg + amneziawg-tools + luci-proto-amneziawg | 1.0.20250903 / ядерный | туннель `awg0` |
| netbird | 0.59.12-r1 | NetBird-агент |
| dnsmasq | 2.90-r4 | LAN DNS, форвардит на `127.0.0.42` (sing-box DNS), `noresolv=1` |
**НЕ установлен** AdGuard Home — фильтрация только через FakeIP подкопа.
## Подкоп: что заворачивается
| Секция | Connection | Outbound | community_lists |
|---|---|---|---|
| `main` | vpn | `awg0` (AmneziaWG → Singapore) | `russia_inside`, `telegram`, `meta` |
| `vlees` | proxy | VLESS Reality SNI=googletagmanager (202.71.12.186:443) — резерв | `russia_inside` |
DNS: `udp 8.8.8.8`, bootstrap `77.88.8.8`, `disable_quic=1`, `log_level=warn`.
AmneziaWG peer endpoint: `202.71.12.186:37209`, jc=3 / s1=75 / s2=97 / h1-h4 заданы.
## AmneziaWG-конфиг (peer Сергея)
```
[Interface]
PrivateKey = Qd4D4shtIISe86BEh/6mPuMWPV0BIaqoJ9jcW0zyLRQ=
Address = 10.8.1.34/32
DNS = 1.1.1.1, 1.0.0.1
Jc = 3 Jmin = 50 Jmax = 1000
S1 = 75 S2 = 97
H1 = 860002361 H2 = 977296329
H3 = 921200064 H4 = 1328368280
[Peer]
PublicKey = C+Y+jAGsuaLtpgZvkgLC3cqqRlV9vwOAcQlObLdgiEQ=
PresharedKey = SBtI7711obKV+SQaiGJ1+9pi/Xh6SZygdwny61z6PQ4=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 202.71.12.186:37209
PersistentKeepalive = 25
```
## Диагностика 2026-05-12 (жалоба «Instagram не работает»)
**Все компоненты на роутере исправны:**
- handshake awg0: 1:37 назад, 11.5 GiB rx / 286 MiB tx
- 108k TCP / 2598 UDP пакетов прошли через tproxy 127.0.0.1:1602
- FakeIP подменяет: `www.instagram.com → 198.18.0.17`, `i.instagram.com → 198.18.0.6`, `scontent.cdninstagram.com → 198.18.0.27`
- `curl --interface awg0 https://www.instagram.com/` с роутера → HTTP 200
- `list_update` прошёл 2026-05-12 09:13 без ошибок
**Вероятная реальная причина у клиента (iPhone, MAC `2e:7f:8c:ce:07:8a` — рандомизированный, единственный активный в DHCP `192.168.1.102`):**
1. iCloud Private Relay — целиком обходит локальный DNS и FakeIP
2. Encrypted DNS в Safari/Chrome (DoH к 1.1.1.1/8.8.8.8 по TCP/443)
3. Кастомный DNS-профиль в Wi-Fi-настройках сети
**Решение (попросить Сергея на iPhone):**
- Настройки → Apple ID → iCloud → Частный узел → ВЫКЛ
- Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически
- Safari → Конфиденциальность → Скрывать IP-адрес → ВЫКЛ
- Chrome → `chrome://settings/security` → DNS через HTTPS → ВЫКЛ
В подкопе v0.7.14 нет встроенной опции "force DNS / block DoH" — если симптомы повторятся, делать вручную через nft (DNAT всего LAN-DNS:53 → 127.0.0.1 + drop известных DoH-серверов). Полный разбор → [[../../decisions/2026-05-12-sergey-instagram-iphone-fakeip]]. Типовой playbook для подобных диагностик → [[../../snippets/podkop-fakeip-diagnostics]].
## Шум в логах sing-box (не баг)
Постоянные `ERROR connection: open connection to {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net:443 ... lookup ...: empty result` — это **Meta NetSeer probes**, штатные anti-CDN-detection запросы Meta. Сами по себе таких доменов в DNS нет (Meta генерит GUID каждые ~30 сек), `empty result` — ожидаемый ответ. Игнорировать.
## Открытые вопросы
- [ ] Что роутер реально обслуживает (один телефон в LAN, остальные нет — это второе жильё / дача?)
- [ ] Сергей — клиент / друг / семья? связь с другими «Сергеями»?
- [ ] Точный адрес и контакт
## Aliases для FTS
`Sergey`, `OpenWrt_Sergey`, `100.70.110.164`, `Одинцово`, `Cudy TR3000`.
Reference in New Issue View Git Blame Copy Permalink