22 KiB
22 KiB
name: Знаменское Охотхозяйство — сеть
description: Полная топология сети охотхозяйства: MikroTik LTE + Orange Pi OpenWrt + VPS WireGuard + Netbird, камеры, DNAT
type: project
Сеть Знаменское Охотхозяйство — полная документация
Обзор
Удалённый объект (охотхозяйство) с интернетом через LTE (CGNAT). Удалённый доступ организован двумя каналами:
- Netbird VPN через Orange Pi — основной канал управления
- WireGuard через VPS (89.111.140.86) — канал для видеонаблюдения (DNAT камер)
MikroTik WireGuard к VPS ОТКЛЮЧЁН (ломал интернет, перехватывал default route). WG работает только на Orange Pi → VPS.
Схема сети
┌─────────────────────────────────────────────────┐
│ VPS 89.111.140.86 (swtest.ru) │
│ Ubuntu 24.04, 1 vCPU, 990MB RAM, 10GB disk │
│ WG: wg0 10.5.0.1/24 :51821 │
│ Netbird: 100.70.93.36 │
│ DNAT: камеры → интернет (порты 8xxx) │
└──────┬──────────────────┬──────────────────────┘
│ WG (UDP 51821) │ WG (UDP 51821)
┌────────────┘ └───────────┐
│ 10.5.0.3 │ 10.5.0.2
│ 192.168.8.0/24 │ 192.168.88.0/24
▼ ▼
┌─────────────────────────────────────┐ ┌──────────────────────────┐
│ Orange Pi R1 Plus LTS (OpenWrt) │ │ Знаменское 29 │
│ 192.168.8.254 │ │ MikroTik 192.168.88.1 │
│ Netbird: 100.70.63.67 │ │ 1 камера HiWatch .42 │
│ WG wg0 → VPS (0 rx, проблема!) │ │ (отдельная локация) │
│ Маршрут 192.168.8.0/24 в Netbird │ └──────────────────────────┘
└──────────────┬──────────────────────┘
│ br0 (eth0+eth1)
│ DHCP client (.254)
│
┌──────────────┴──────────────────────────────────────────────────────────┐
│ │
│ MikroTik hAP ax lite LTE6 — 192.168.8.1 │
│ RouterOS 7.22, S/N: HH20AD5NPHJ │
│ ARM 2-core 800MHz, 256MB RAM, 128MB Flash │
│ Timezone: Europe/Moscow (UTC+3) │
│ │
│ ┌──────────┐ ┌────────┐ ┌────────┐ ┌────────┐ ┌───────┐ │
│ │ lte1 │ │ ether1 │ │ ether2 │ │ ether3 │ │ ether4│ │
│ │ WAN │ │ bridge │ │ bridge │ │ bridge │ │ bridge│ │
│ │ CGNAT │ │ UP ◉ │ │ UP ◉ │ │ DOWN ○ │ │ DOWN ○│ │
│ │7.90.8.47 │ │ 100M │ │ 100M │ │ │ │ │ │
│ └──────────┘ └────────┘ └────────┘ └────────┘ └───────┘ │
│ │
│ ┌──────────────┐ ┌──────────────────┐ │
│ │ wifi1 (AP) │ │ wg-vps │ │
│ │ bridge │ │ DISABLED ✗ │ │
│ │ SSID: Hunter │ │ (ломал интернет) │ │
│ │ WPA2/3-PSK │ │ 10.5.0.3/24 │ │
│ │ pw:12345678a │ │ → VPS :51820 │ │
│ └──────────────┘ └──────────────────┘ │
│ │
│ DHCP: 192.168.8.2-254, lease 30m, DNS: 192.168.8.1 │
│ DNS upstream: 176.59.62.125, 176.59.62.126 (от LTE-оператора) │
│ NAT: srcnat masquerade → lte1 │
│ Firewall filter: все defconf правила DISABLED, forward ACCEPT │
└─────────────────────────────────────────────────────────────────────────┘
│ bridge (192.168.8.0/24)
│
┌────┴────────────────────────────────────────────────────────────┐
│ LAN-устройства │
├─────────────────────────────────────────────────────────────────┤
│ │
│ ПРОВОДНЫЕ (статические / DHCP reserved): │
│ │
│ .1 — MikroTik (роутер, gateway) │
│ .2 — Камера 1 (24:48:45:85:DC:95) RTSP :554, SDK :8000 │
│ .3 — Камера 2 (24:48:45:85:E0:19) RTSP :554, SDK :8000 │
│ .102 — Камера 3 (—) RTSP :554, SDK :8000 │
│ .110 — Камера 4 (20:BB:BC:5E:80:85) RTSP :554, SDK :8000 │
│ .113 — Камера 5 (—) RTSP :554, SDK :8000 │
│ .120 — Камера 6 (20:BB:BC:6B:02:E5) RTSP :554, SDK :8000 │
│ .247 — NVR (DC:07:F8:4A:F3:69) Web :80, SDK :8000, RTSP :554 │
│ .254 — Orange Pi R1 Plus LTS (OpenWrt, Netbird/WG gateway) │
│ │
│ Wi-Fi КЛИЕНТЫ (динамические): │
│ │
│ .244 — TECNO POVA 7 Ultra 5G (постоянный, сигнал -42) │
│ .150 — POCO X5 Pro 5G (гость, сигнал -51) │
│ .144 — S23 Ultra «Сергей» (гость, сигнал -81) │
│ Ранее: HONOR 400 Pro, OnePlus 8T, Mi 11 Ultra, iPhone, │
│ M2102J20SG, Infinix GT 30 Pro, iPad │
│ │
└──────────────────────────────────────────────────────────────────┘
1. MikroTik hAP ax lite LTE6
| Параметр | Значение |
|---|---|
| Модель | hAP ax lite LTE6 (L41G-2axD&FG621-EA) |
| S/N | HH20AD5NPHJ |
| RouterOS | 7.22 (stable), build 2026-03-09 |
| Firmware | 7.15.2 (upgrade available: 7.22) |
| CPU | ARM, 2 cores, 800 MHz |
| RAM | 256 MB (free ~80 MB) |
| Flash | 128 MB (free ~95 MB) |
| Timezone | Europe/Moscow (UTC+3) |
| LAN IP | 192.168.8.1/24 |
| WAN | LTE (lte1), CGNAT IP 7.90.8.47/32 |
| DNS | 176.59.62.125, 176.59.62.126 (dynamic from LTE) |
| Admin | admin / 1qaz!QAZ (REST API + SSH + WebFig) |
Интерфейсы
| Интерфейс | Тип | Статус | MAC | Назначение |
|---|---|---|---|---|
| bridge | bridge | UP | F4:1E:57:41:76:24 | LAN (все порты + Wi-Fi) |
| ether1 | ethernet | UP 100M | F4:1E:57:41:76:24 | Bridge port (LAN) |
| ether2 | ethernet | UP 100M | F4:1E:57:41:76:25 | Bridge port (LAN, основной трафик) |
| ether3 | ethernet | DOWN | F4:1E:57:41:76:26 | Bridge port (не подключён) |
| ether4 | ethernet | DOWN | F4:1E:57:41:76:27 | Bridge port (не подключён) |
| wifi1 | wifi AP | UP | F4:1E:57:41:76:28 | Bridge port, SSID "Hunter" |
| lte1 | LTE modem | UP | CA:9D:C9:1B:1C:80 | WAN (интернет) |
| wg-vps | WireGuard | DISABLED | — | К VPS (отключён, ломал интернет) |
Wi-Fi
| Параметр | Значение |
|---|---|
| SSID | Hunter |
| Auth | WPA2-PSK + WPA3-PSK |
| Пароль | 12345678a |
| Band | 2.4 GHz (ax/n) |
| FT (Fast Transition) | Включён |
Маршруты
| Назначение | Gateway | Статус | Комментарий |
|---|---|---|---|
| 0.0.0.0/0 | lte1 | Активен | Default через LTE |
| 0.0.0.0/0 | wg-vps | Неактивен | Route through VPN (distance 2) |
| 10.0.0.0/24 | wg-vps | Неактивен | VPS WireGuard network |
| 10.5.0.0/24 | wg-vps | Неактивен | WG сеть |
| 89.111.140.86/32 | lte1 | Активен | Direct to VPS |
| 192.168.8.0/24 | bridge | Активен | LAN |
NAT
| Chain | Action | Правило |
|---|---|---|
| srcnat | masquerade | out-interface-list=WAN, ipsec-policy=out,none |
| srcnat | masquerade | in-interface=wg-vps, out-interface-list=LAN (для WG→LAN) |
Firewall Filter
Все defconf правила DISABLED. Активны только:
- forward: Accept WG VPS → LAN
- forward: Accept LAN → WG VPS (established,related)
Interface Lists
- LAN: bridge
- WAN: lte1
2. Orange Pi R1 Plus LTS (OpenWrt Gateway)
| Параметр | Значение |
|---|---|
| Модель | Xunlong Orange Pi R1 Plus LTS |
| Arch | aarch64_generic (rockchip/armv8) |
| OpenWrt | 21.02.1, r16325-88151b8303 |
| Kernel | 5.4.154 SMP PREEMPT |
| Hostname | OpenWrt_ohothozyistvo |
| FQDN | openwrt-ohothozyistvo.netbird.cloud |
| LAN IP | 192.168.8.254 (DHCP от MikroTik) |
| MAC | C0:74:2B:FC:32:20 |
| Netbird IP | 100.70.63.67/16 |
| WG IP | 10.5.0.3/24 (wg0 → VPS) |
| Disk | 29.2 GB (353 MB used, 1%) |
| SSH | root / 1qaz!QAZ (Dropbear, нужен expect) |
Сетевые интерфейсы
| Интерфейс | IP | Назначение |
|---|---|---|
| br0 (eth0+eth1) | 192.168.8.254/24 | Bridge, DHCP client от MikroTik |
| wg0 | 10.5.0.3/24 | WireGuard → VPS 89.111.140.86:51820 |
| wt0 | 100.70.63.67/16 | Netbird WireGuard |
| docker0 | 172.17.0.1/16 | Docker (не используется) |
WireGuard (wg0)
| Параметр | Значение |
|---|---|
| Public Key | QK2SMILEfG+kRccU3QJVDZafuf108z6qPDK1XusLGVI= |
| Peer | VPS (v95Qiu4diw2E...) |
| Endpoint | 89.111.140.86:51820 |
| Allowed IPs | 10.5.0.0/24 |
| Keepalive | 25s |
| Статус | 0 bytes received — VPS слушает на :51821, OrangePi шлёт на :51820 — ПОРТ НЕ СОВПАДАЕТ! |
Netbird
| Параметр | Значение |
|---|---|
| Version | 0.36.5 |
| Status | Connected (Relayed) |
| Relay | rels://streamline-fi-hel1-2.relay.netbird.io:443 |
| Routes | 192.168.8.0/24 (раздаёт в Netbird mesh) |
| Peers | 27/44 Connected |
Установленные сервисы
adblock, aria2, avahi, banip, collectd, dnsmasq, dockerd, dropbear, luci_statistics, minidlna, mjpg-streamer, netbird, nlbwmon, qos, samba4, shadowsocks-libev, sqm, squid, sshd, transmission, ttyd, unbound, vnstat, watchcat, wsdd2, zerotier
3. VPS (WireGuard Hub + DNAT)
| Параметр | Значение |
|---|---|
| Hostname | 89-111-140-86.swtest.ru |
| OS | Ubuntu 24.04.4 LTS |
| IP | 89.111.140.86 (также IPv6: 2a01:d8:4:f:89:111:140:86) |
| Netbird IP | 100.70.93.36 |
| CPU | 1 vCPU |
| RAM | 990 MB (free ~73 MB) |
| Disk | 9.8 GB (84% used!) |
| WG IP | 10.5.0.1/24 |
| WG Port | 51821 (не стандартный) |
| SSH | ключ vps_znam_key с clawdbot (LXC 129) |
| Docker | camera-proxy (running) |
WireGuard пиры
| Пир | WG IP | Allowed IPs | Endpoint | Статус |
|---|---|---|---|---|
| Знаменское 29 | 10.5.0.2 | 10.5.0.2/32, 192.168.88.0/24 | 193.39.160.146:35156 | UP ✓ |
| Охотхозяйство (MikroTik) | 10.5.0.3 | 10.5.0.3/32, 192.168.8.0/24 | нет Endpoint | DOWN ✗ (MikroTik wg-vps disabled) |
| Знаменское Home (OpenWrt_3) | 10.5.0.4 | 10.5.0.4/32, 192.168.1.0/24, 192.168.100.0/24 | 193.39.160.238:1514 | UP ✓ (4.37 TiB rx!) |
Важно: Пир охотхозяйства НЕ имеет Endpoint в конфиге VPS — VPS не может сам инициировать подключение. Подключение должно приходить от MikroTik, но wg-vps на нём отключён. Реально WG идёт через Orange Pi (wg0), но Orange Pi шлёт на порт 51820, а VPS слушает на 51821 — порт не совпадает, туннель не работает.
DNAT правила (порты на 89.111.140.86)
Охотхозяйство (192.168.8.x) — через WG 10.5.0.3
| Внешний порт | → Локальный адрес | Назначение |
|---|---|---|
| 8180 | 192.168.8.247:80 | NVR Web |
| 8100 | 192.168.8.247:8000 | NVR SDK (iVMS-4200) |
| 8555 | 192.168.8.247:554 | NVR RTSP |
| 8561 | 192.168.8.2:554 | Камера 1 RTSP |
| 8201 | 192.168.8.2:8000 | Камера 1 SDK |
| 8562 | 192.168.8.3:554 | Камера 2 RTSP |
| 8202 | 192.168.8.3:8000 | Камера 2 SDK |
| 8563 | 192.168.8.102:554 | Камера 3 RTSP |
| 8203 | 192.168.8.102:8000 | Камера 3 SDK |
| 8564 | 192.168.8.110:554 | Камера 4 RTSP |
| 8204 | 192.168.8.110:8000 | Камера 4 SDK |
| 8565 | 192.168.8.113:554 | Камера 5 RTSP |
| 8205 | 192.168.8.113:8000 | Камера 5 SDK |
| 8566 | 192.168.8.120:554 | Камера 6 RTSP |
| 8206 | 192.168.8.120:8000 | Камера 6 SDK |
Знаменское 29 (192.168.88.x) — через WG 10.5.0.2
| Внешний порт | → Локальный адрес | Назначение |
|---|---|---|
| 8080 | 192.168.88.42:80 | Камера HiWatch Web |
| 8082 | 192.168.88.42:8000 | Камера SDK (TCP+UDP) |
| 8554 | 192.168.88.42:554 | Камера RTSP |
Знаменское Home (192.168.1.x) — через WG 10.5.0.4
| Внешний порт | → Локальный адрес | Назначение |
|---|---|---|
| 8280 | 192.168.1.123:80 | NVR Hikvision Web |
| 8282 | 192.168.1.123:8000 | NVR SDK |
| 8284 | 192.168.1.123:554 | NVR RTSP |
4. Устройства в LAN (192.168.8.0/24)
Проводные (постоянные)
| IP | MAC | Тип | Порты | DNAT на VPS |
|---|---|---|---|---|
| .1 | F4:1E:57:41:76:24 | MikroTik (router) | — | — |
| .2 | 24:48:45:85:DC:95 | Камера 1 | RTSP :554, SDK :8000 | 8561, 8201 |
| .3 | 24:48:45:85:E0:19 | Камера 2 | RTSP :554, SDK :8000 | 8562, 8202 |
| .102 | — | Камера 3 | RTSP :554, SDK :8000 | 8563, 8203 |
| .110 | 20:BB:BC:5E:80:85 | Камера 4 | RTSP :554, SDK :8000 | 8564, 8204 |
| .113 | — | Камера 5 | RTSP :554, SDK :8000 | 8565, 8205 |
| .120 | 20:BB:BC:6B:02:E5 | Камера 6 | RTSP :554, SDK :8000 | 8566, 8206 |
| .247 | DC:07:F8:4A:F3:69 | NVR | Web :80, SDK :8000, RTSP :554 | 8180, 8100, 8555 |
| .254 | C0:74:2B:FC:32:20 | Orange Pi R1+ LTS | SSH :22 | — |
Wi-Fi клиенты (наблюдались 12–16 марта)
| Hostname | MAC | Частота появления |
|---|---|---|
| TECNO POVA 7 Ultra 5G | 02:01:A7:CF:49:6A | Постоянный (сигнал -42) |
| HONOR 400 Pro | 2E:D1:87:C2:8D:8F / 84:A1:B7:FE:26:06 | Частый |
| S23 Ultra «Ruptor» | F2:33:DD:3C:87:9E | Периодический |
| S23 Ultra «Сергей» | 36:11:DE:CA:46:BB | Периодический |
| POCO X5 Pro 5G | 72:6F:0D:AF:D9:E0 | Частый гость |
| OnePlus 8T | 9A:DB:87:12:2C:0E | Гость |
| Mi 11 Ultra | A2:72:D7:F7:4C:C5 | Гость |
| Infinix GT 30 Pro | 26:13:C9:EE:CF:3C | Гость |
| M2102J20SG (Xiaomi) | 0E:56:F6:18:06:7A | Редко |
| iPhone | E6:FE:79:8C:9E:F4 | Редко |
| iPad | DA:FB:04:4E:04:C6 | Редко |
| Неизвестный | 36:BA:A2:5B:B6:95 | Частый |
5. Каналы удалённого доступа
Канал 1: Netbird (основной)
Администратор → Netbird mesh → Orange Pi (100.70.63.67)
│ route 192.168.8.0/24
├→ MikroTik REST API (192.168.8.1)
├→ NVR (192.168.8.247)
└→ Камеры (.2, .3, .102, .110, .113, .120)
- Работает через relay (Relayed)
- Latency: ~75-210 ms
- Orange Pi раздаёт маршрут 192.168.8.0/24 в Netbird
Канал 2: WireGuard VPS (для видеопотоков)
Интернет → VPS (89.111.140.86:8xxx)
│ DNAT
▼
WG туннель (10.5.0.1 ↔ 10.5.0.3)
│
▼
192.168.8.x (камеры/NVR)
- СТАТУС: НЕ РАБОТАЕТ
- Причина: MikroTik wg-vps disabled, Orange Pi wg0 шлёт на порт 51820 (VPS слушает 51821)
- Для восстановления нужно: исправить порт на Orange Pi (51820→51821) ИЛИ включить wg-vps на MikroTik
Канал 3: Прямой доступ через VPS → WG → SSH
clawdbot (10.0.0.206)
→ ssh -i vps_znam_key root@100.70.93.36 (VPS Netbird)
→ ssh/curl → 192.168.8.x (через WG, если работает)
→ expect ssh root@192.168.8.254 (Orange Pi, через WG)
- Путь VPS → 192.168.8.x работает через WG к OpenWrt_3 (10.5.0.4) при условии, что WG-туннель к охотхозяйству поднят. На данный момент трафик от VPS к 192.168.8.x идёт, т.к. Orange Pi wg0 отправляет keepalive и VPS знает endpoint.
6. Известные проблемы
WireGuard порт mismatch
- Orange Pi wg0 endpoint:
89.111.140.86:51820 - VPS wg0 ListenPort:
51821 - Порты не совпадают! Orange Pi шлёт пакеты на 51820, но VPS слушает на 51821
- Несмотря на это, VPS показывает handshake от Знаменское 29 и Home — возможно NAT или iptables перенаправляет 51820→51821, или пиры шлют на правильный порт
MikroTik WireGuard ломает интернет
- wg-vps имеет default route с distance 2 — при включении может перехватить трафик
- Why: wg-vps endpoint 89.111.140.86 маршрутизируется через lte1 (отдельный static route), но весь остальной трафик уходит в wg-vps туннель который не работает
- Решение: wg-vps оставить disabled, использовать только Orange Pi WG
VPS диск почти полный
- 9.8 GB, 84% used — нужна очистка
Последнее отключение питания
- 12 марта 15:25 —
router rebooted without proper shutdown, probably power outage - МикроТик потерял и восстановил время (NTP коррекция на ~23 часа)
7. Учётные данные
| Устройство | Логин | Пароль | Доступ |
|---|---|---|---|
| MikroTik | admin | 1qaz!QAZ | REST API http://192.168.8.1/rest/, SSH, WebFig |
| Orange Pi | root | 1qaz!QAZ | SSH (expect, Dropbear) |
| VPS | root | — (ключ) | SSH с clawdbot: ssh -i ~/.ssh/vps_znam_key root@100.70.93.36 |
| NVR (.247) | — | — | Web http://192.168.8.247 |
| Камеры | — | — | RTSP/SDK |
| Знаменское 29 MikroTik | admin | admin01 | 192.168.88.1 |
| Знаменское 29 камера | admin | 1qaz!QAZ | 192.168.88.42 |