bf565f1392
Сегодня (mmfb / LionART 1C): - projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver), SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA. - projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100. - decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки, и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка → sc.exe config password= → start auto). Накопившийся backlog (без отдельной правки в эту сессию): - decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux compromise 2026-05-20, glavtorg autologon off, omni domain+update. - projects/: benilux README, buzharovo README+server1c, dttb (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients), glavtorg, sergey README, projects/_index. - claude-memory/: benelux, omniroute. - snippets/mac-dictation/groq-dictate.sh. - notes/claude/: ~80 авто-сохранённых транскриптов сессий за май. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
6.2 KiB
date, type, status, tags, aliases
| date | type | status | tags | aliases | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2026-05-12 | project | active |
|
|
Sergey — клиентский OpenWrt
Один из выездных OpenWrt-роутеров (домашний / клиентский) с подкоп-обходом РКН. Диагностирован 2026-05-12.
Доступ
| Параметр | Значение |
|---|---|
| Имя пира NetBird | OpenWrt_Sergey |
| NetBird IP | 100.70.110.164 |
| Локация | Одинцово |
| SSH | ssh root@100.70.110.164 пароль 1qaz!QAZ (только через NetBird, в LAN-провайдере не светится) |
| LuCI | http://192.168.1.1 (только из LAN) |
| Clash API | 192.168.1.1:9090 (только из LAN) |
Железо
| Параметр | Значение |
|---|---|
| Модель | Cudy TR3000 v1 (MediaTek Filogic 820, MT7981) |
| Архитектура | aarch64_cortex-a53 |
| OpenWrt | 24.10.3 r28872-daca7c049b, target mediatek/filogic |
| Uptime (2026-05-12) | 57 дней |
Сеть
- WAN
eth0— внутри провайдерского сегмента 192.168.0.0/24, IP192.168.0.136, gateway192.168.0.1(двойной NAT — за провайдерским роутером). - LAN
br-lan192.168.1.0/24, роутер 192.168.1.1. - Внешний публичный IP без VPN:
217.73.118.172(NetByNet, РФ). - Внешний IP через awg0:
202.71.12.186(Singapore VPS, общий VLESS endpoint Олега). - NetBird
wt0100.70.110.164/16.
Установлено
| Пакет | Версия | Назначение |
|---|---|---|
| podkop / luci-app-podkop | v0.7.14-r1 | управляющая обвязка обхода (sing-box + nft + rule_sets) |
| sing-box | 1.12.12-r1 | tproxy на 127.0.0.1:1602, FakeIP 198.18.0.0/15 |
| kmod-amneziawg + amneziawg-tools + luci-proto-amneziawg | 1.0.20250903 / ядерный | туннель awg0 |
| netbird | 0.59.12-r1 | NetBird-агент |
| dnsmasq | 2.90-r4 | LAN DNS, форвардит на 127.0.0.42 (sing-box DNS), noresolv=1 |
НЕ установлен AdGuard Home — фильтрация только через FakeIP подкопа.
Подкоп: что заворачивается
| Секция | Connection | Outbound | community_lists |
|---|---|---|---|
main |
vpn | awg0 (AmneziaWG → Singapore) |
russia_inside, telegram, meta |
vlees |
proxy | VLESS Reality SNI=googletagmanager (202.71.12.186:443) — резерв | russia_inside |
DNS: udp 8.8.8.8, bootstrap 77.88.8.8, disable_quic=1, log_level=warn.
AmneziaWG peer endpoint: 202.71.12.186:37209, jc=3 / s1=75 / s2=97 / h1-h4 заданы.
AmneziaWG-конфиг (peer Сергея)
[Interface]
PrivateKey = Qd4D4shtIISe86BEh/6mPuMWPV0BIaqoJ9jcW0zyLRQ=
Address = 10.8.1.34/32
DNS = 1.1.1.1, 1.0.0.1
Jc = 3 Jmin = 50 Jmax = 1000
S1 = 75 S2 = 97
H1 = 860002361 H2 = 977296329
H3 = 921200064 H4 = 1328368280
[Peer]
PublicKey = C+Y+jAGsuaLtpgZvkgLC3cqqRlV9vwOAcQlObLdgiEQ=
PresharedKey = SBtI7711obKV+SQaiGJ1+9pi/Xh6SZygdwny61z6PQ4=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = 202.71.12.186:37209
PersistentKeepalive = 25
Диагностика 2026-05-12 (жалоба «Instagram не работает»)
Все компоненты на роутере исправны:
- handshake awg0: 1:37 назад, 11.5 GiB rx / 286 MiB tx
- 108k TCP / 2598 UDP пакетов прошли через tproxy 127.0.0.1:1602
- FakeIP подменяет:
www.instagram.com → 198.18.0.17,i.instagram.com → 198.18.0.6,scontent.cdninstagram.com → 198.18.0.27 curl --interface awg0 https://www.instagram.com/с роутера → HTTP 200list_updateпрошёл 2026-05-12 09:13 без ошибок
Вероятная реальная причина у клиента (iPhone, MAC 2e:7f:8c:ce:07:8a — рандомизированный, единственный активный в DHCP 192.168.1.102):
- iCloud Private Relay — целиком обходит локальный DNS и FakeIP
- Encrypted DNS в Safari/Chrome (DoH к 1.1.1.1/8.8.8.8 по TCP/443)
- Кастомный DNS-профиль в Wi-Fi-настройках сети
Решение (попросить Сергея на iPhone):
- Настройки → Apple ID → iCloud → Частный узел → ВЫКЛ
- Настройки → Wi-Fi → ⓘ его сети → Настройка DNS → Автоматически
- Safari → Конфиденциальность → Скрывать IP-адрес → ВЫКЛ
- Chrome →
chrome://settings/security→ DNS через HTTPS → ВЫКЛ
В подкопе v0.7.14 нет встроенной опции "force DNS / block DoH" — если симптомы повторятся, делать вручную через nft (DNAT всего LAN-DNS:53 → 127.0.0.1 + drop известных DoH-серверов). Полный разбор → ../../decisions/2026-05-12-sergey-instagram-iphone-fakeip. Типовой playbook для подобных диагностик → ../../snippets/podkop-fakeip-diagnostics.
Шум в логах sing-box (не баг)
Постоянные ERROR connection: open connection to {GUID}-netseer-ipaddr-assoc.xy.fbcdn.net:443 ... lookup ...: empty result — это Meta NetSeer probes, штатные anti-CDN-detection запросы Meta. Сами по себе таких доменов в DNS нет (Meta генерит GUID каждые ~30 сек), empty result — ожидаемый ответ. Игнорировать.
Открытые вопросы
- Что роутер реально обслуживает (один телефон в LAN, остальные нет — это второе жильё / дача?)
- Сергей — клиент / друг / семья? связь с другими «Сергеями»?
- Точный адрес и контакт
Aliases для FTS
Sergey, OpenWrt_Sergey, 100.70.110.164, Одинцово, Cudy TR3000.