oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
35d58a687a73773d7ad9f0cc58d9e6634ac37895
knowledge-base/projects/openwrt-4/credentials.md

96 lines
8.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-06-02
type: credentials
status: active
tags: [openwrt-4, olivier, credentials, vps, hostkey, amneziawg, france, canal-plus]
aliases: [Olivier creds, openwrt-4 credentials, fr-vmnano, 151.243.217.139, Оливье креды]
---
# OpenWrt_4 / Оливье — креды
> Клиент: **Оливье** (француз, Москва). Роутер Cudy TR3000 = NetBird `OpenWrt_4`. Французская выходная нода для обхода РКН + **Canal+**. Рунбук: [[canal-plus-setup-runbook]] · проект: [[README]].
## Французский VPS — выходная нода (HOSTKEY Paris)
| Параметр | Значение |
|---|---|
| IP | `151.243.217.139` |
| Hostname | `fr-vmnano` |
| Провайдер / ASN | **HOSTKEY B.V.** AS57043, Paris PAR3 (Vélizy) |
| Гео | FR (Paris) — MaxMind/ipinfo/geojs = **FR**; RIPE inetnum зарегистрирован **NL** (лизованный блок, гео «догоняет»); ip-api протухший US |
| OS / virt | Ubuntu 22.04.5 LTS, **KVM**, `/dev/net/tun` ✓ |
| Ресурсы | 2 vCPU / 1.8 GB RAM / 58 GB NVMe |
| **SSH** | `ssh root@151.243.217.139` пароль **`jIKk7U-Vn-`** |
## AmneziaWG-сервер (развёрнут приложением AmneziaVPN, 2026-06-02)
- Docker-контейнер **`amnezia-awg2`**, слушает **UDP 44221** (`0.0.0.0:44221`).
- Протокол **AmneziaWG 1.5** (продвинутая обфускация: H-диапазоны, S3/S4, I1 = iCloud-mimic). ⚠️ совместимость с OpenWrt — см. ниже.
- Файлы в контейнере: `/opt/amnezia/awg/awg0.conf`, `wireguard_*_key.key`, `clientsTable`.
### Ключи сервера
| | |
|---|---|
| Server **PublicKey** | `wyN+ob6bWvDsBHw6gVBO11YmpG1kYVO6OqnGtwJx5zs=` |
| Server **PrivateKey** | `cG1x+PTnszCDjQxqkzR7vKNI2vMRnwKdfMnD2Eo0s24=` |
| **PresharedKey** (общий на всех пиров) | `eRtyuG6UdQqKxKK/lmWkosR3n0PUNUH9u45CXVNnsS8=` |
| **Endpoint** (для клиентов) | `151.243.217.139:44221` |
| Внутренняя сеть | `10.8.1.0/24` |
### Обфускация (должна 1:1 совпадать на клиенте)
```
Jc=5 Jmin=10 Jmax=50
S1=97 S2=99 S3=63 S4=7
H1=525652870-1032659689
H2=2143742042-2146202402
H3=2146939599-2147410002
H4=2147455965-2147472644
I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c000100010000105a00044d583737> # фейк-DNS под icloud.com
```
### Пиры (clientsTable)
| IP | Имя | PublicKey | Чей |
|---|---|---|---|
| 10.8.1.1 | Admin [macOS Tahoe 26.5] | `UP9e4STNvLh8nDR2A13YBN0OGbKzTng7c9dK/TvnFic=` | Mac Олега |
| 10.8.1.2 | Admin [iOS 26.5] | `gKXG3SMO+wzkASo3MIqhXNtmngRr6Hq5q9uSZFK+AE8=` | iPhone Олега |
| 10.8.1.3 | Cudy Оливье ✅ | `rbAob0v1xZFrehdDyBokOoOp89GEt7UJcoq7aqoD6Hk=` | **роутер Оливье** (подтверждено: awg0 работает, FR) |
> Клиентские **приватные** ключи только в экспортах приложения AmneziaVPN (на сервере лежат лишь pubkey пиров). Для UCI-блока Cudy нужен **экспорт клиента 10.8.1.3** (там его PrivateKey + Endpoint + обфускация).
## Совместимость с OpenWrt (Cudy) — ✅ РЕШЕНО
Сервер на **AWG 1.5** (S3/S4 + H-диапазоны + I1-пакеты). На Cudy `luci-proto-amneziawg 2.0.4` + `kmod-amneziawg 6.6.104.1.0.20250924`**1.5 поддерживается** (proto знает `awg_s3/s4`, `awg_i1..i5`, H-диапазоны), конфиг встал как есть, handshake ОК. Обновлять/упрощать не понадобилось.
## Роутер Cudy TR3000 (OpenWrt_4) — обновлено 2026-06-03 (выезд/смена провайдера)
| Параметр | Значение |
|---|---|
| NetBird пир / IP | `OpenWrt_4`**`100.70.194.241`** (был `100.70.235.2`; сменился после сброса) |
| SSH | `ssh root@100.70.194.241` пароль **`1qaz!QAZ`** (подтверждён) |
| **LuCI (по NetBird)** | **`http://100.70.194.241/`** root/`1qaz!QAZ` — правило `Allow-LuCI-NetBird` (tcp 80/443 ← `100.70.0.0/16`, НЕ в WAN) |
| LAN | **`192.168.10.1/24`** (сменён с дефолтного `192.168.1.1` — коллизия с подсетью провайдера) |
| WAN | `eth0` DHCP за роутером провайдера `192.168.1.1/24` (двойной NAT), публичный `109.252.x` Москва |
| OpenWrt / extroot | 24.10.3; extroot на USB `sda4` (Kingston 31ГБ → `/overlay`), **fstab-запись восстановлена** (uuid `77b8739b…`) |
| amneziawg | `luci-proto-amneziawg 2.0.4` + `kmod 6.6.104.1.0.20250924`**AWG 1.5 поддерживается ✅** |
| awg0 | клиент `10.8.1.3``151.243.217.139:44221`, handshake ОК, выход **FR** |
| podkop | `v0.7.19`: `meta`/`youtube`/`telegram` + user_domains Canal+ (`canalplus.com canal-plus.com mycanal.fr canalplus.pro canal-plus.net`); `disable_quic=1` |
| IPv6 | LAN **отключён** (`ra/dhcpv6=disabled`) — против утечки мимо FakeIP |
### Лог выезда 2026-06-03 (всё через NetBird, Олег удалённо)
1. Сброс роутера → **extroot слетел из fstab**; восстановил запись (uuid sda4 → /overlay) — ребут снова безопасен.
2. **Коллизия LAN/WAN** (оба `192.168.1.x`) → не было интернета → сменил LAN на `192.168.10.1` (`ifup lan`, не ребут) → инет вернулся.
3. **LuCI по NetBird** (правило-зеркало SSH-правила, только `100.70.0.0/16`).
4. awg0 (AWG 1.5) поднялся → FR; podkop с правильными списками; Canal+-домены добавлены в user_domains → FakeIP (sing-box/dnsmasq кэш чистил).
5. **IPv6 на LAN вырублен**.
6. Бэкапы у меня: `cudy-olivier-config-backup.tar.gz` (+ netbird/config.json).
-**Осталось:** Оливье тестит myCanal (плей); устройство `Glavnaa-spalna` (8c:26:aa:c0:c1:d0) застряло на старом `192.168.1.189` — переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку.
## ⚠️ SSH на FR-ноду с code-server (LXC 132) — нужен обходной маршрут
**Проблема:** интернет code-server завёрнут через NetBird **exit-node `finland5870.com`** (HOSTKEY, egress `202.71.12.186`), а HOSTKEY **режет исходящий TCP/22**. → `ssh root@151.243.217.139` с code-server виснет (timeout). С Mac работает (выходит напрямую). Диагностика: `ip route get 151.243.217.139``dev wt0 table netbird` = идёт через exit-node.
**Фикс (хирургический, exit-node не трогаем) — пустить только FR-ноду мимо exit-node через домашний шлюз:**
```sh
ip route add 151.243.217.139/32 via 10.0.0.1 dev eth0
```
После этого `ssh root@151.243.217.139` работает. ⚠️ Маршрут **не переживёт reboot code-server** — повторить после перезагрузки (или закрепить через netbird hook / постоянный route).
*(Проверка 2026-06-02: нода жива, `amnezia-awg2` Up, UDP 44221 слушает, egress=FR, пиры 10.8.1.1/.2/.3 с живыми handshakes.)*
## Прочее
- **SOCKS-тест гео** (временный): `ssh -D 1080 root@151.243.217.139` → проверка myCanal/france.tv реальным браузером через FR-выход. Снести после.
- NetBird диаг-ключ Claude-Diag **истёк** 2026-05-21 → перевыпустить при переэнролле роутера ([[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]).
Reference in New Issue View Git Blame Copy Permalink