oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
459293567eed1dfa8ae3b181ba0abd01ae914ee0
knowledge-base/projects/benilux/README.md
dttb 7bd229e387 Бенелюкс: концепция сегментации Wi-Fi (хозяева/персонал/гости) 
UniFi VLAN + firewall на Cudy; персонал=только интернет, внедрение отложено

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-06-01 13:37:29 +03:00

101 lines
6.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-05-06
updated: 2026-05-20
type: project
status: active
tags: [object, openwrt, netbird, client, istra, podkop, residential]
aliases: [Benilux, benilux, Бенелюкс, "OpenWrt Benilux"]
---
# Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра)
Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; **назначение — обход блокировок через podkop**. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP.
## Контакт
| | |
|---|---|
| Клиент | Александр |
| Локация | КП Бенелюкс, Истра |
## Роутер
| Параметр | Значение |
|---|---|
| Модель | Cudy TR3000 v1 (MediaTek Filogic, aarch64) |
| Hostname | `Benelux` |
| OpenWrt | 24.10.3 |
| NetBird IP | `100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`) |
| WAN | eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60` |
| LAN | `192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже) |
| SSH | **по ключу** `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в [[credentials]]) |
## Что работает в сети
**Cudy = только шлюз/podkop + DHCP + NetBird-bridge.** Wi-Fi и доступ к LAN — через систему Unifi за ним.
### На Cudy
- **podkop v0.7.14** + sing-box 1.12.22 — обход блокировок:
- Main: VPN через `awg0` (AmneziaWG), списки `russia_inside` + `telegram` + `meta` (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP)
- Vless: VLESS-Singapore (`202.71.12.186:443`, Reality)
- DNS: DoH (`https://common.dot.dns.yandex.net/dns-query`), bootstrap 77.88.8.8
- FakeIP: `198.18.0.0/15`, QUIC отключён
- Clash API: `192.168.1.1:9090`
- **NetBird** для удалённого доступа (`100.70.207.97`)
- **DHCP** `192.168.1.2 — 192.168.1.254` (leasetime 12h)
- **Принтер HP M775**: проброшен через DNAT с NetBird-IP (`https://100.70.207.97:8148``192.168.1.148:443`)
### Unifi-сегмент за Cudy
В LAN — Unifi AP/Switch (3 устройства c MAC `70:a7:41:*`):
| IP | MAC | Hostname | Состояние |
|---|---|---|---|
| `192.168.1.199` | `70:a7:41:79:ef:29` | `Benelyuks` | активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже) |
| `192.168.1.192` | `70:a7:41:9a:9e:92` | — | тихо |
| `192.168.1.101` | `70:a7:41:c1:33:0a` | — | тихо |
**К какому контроллеру они adopted — пока не выяснено.** Точные факты по состоянию на 2026-05-20:
- К общему LXC 116 на pve-niikn (`100.70.138.234 unifi-controller.netbird.cloud`) inform-трафика **нет**
- К UDM-Pro Знаменского inform-трафика **нет**
- На Cudy нет ни `unifi-proxy` (socat), ни DNS-override `unifi → …`, ни DNAT для 8080/8443/3478
- Устройство `192.168.1.199` шлёт TCP SYN на `192.168.28.34:8381` (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа
- Hostname `Benelyuks` у одного из устройств — значит когда-то было adopted (имя задаётся при provision)
Возможные гипотезы:
1. AP/Switch — наследие старого setup, контроллер которого больше недоступен
2. Был отдельный standalone-контроллер где-то в LAN, сейчас не работает
3. `192.168.28.34` — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация
> **TODO**: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж.
### Известные клиенты в LAN
- Samsung S23 «пользователя Нина» (192.168.1.128)
- MacBook «Mac» (192.168.1.231)
- Cisco IP-телефон `SEP00235EB76EBE` (192.168.1.216)
- HP принтер `NPI0EC3A9` (192.168.1.152)
- HP M775 (192.168.1.148, через DNAT для удалённой печати)
- ~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.)
Полные конфиги Cudy: [[claude-memory/benelux]] и [[claude-memory/benelux-topology]].
## Конфликт подсетей
`192.168.1.0/24` в Бенелюксе пересекается с:
- LAN UDM-Pro Знаменского (`192.168.1.0/24`)
- pve-niikn (анонсирует `192.168.1.0/24` в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс)
При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP.
## История инцидентов
- **2026-05-20** — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. [[decisions/2026-05-20-benelux-compromise]].
## Планы / концепции
- [[wifi-segmentation-concept]] — сегментация Wi-Fi на хозяев / персонал / гостей (UniFi VLAN + firewall на Cudy). Черновик 2026-06-01, внедрение отложено.
## Aliases для FTS
`Benilux`, `Бенелюкс`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benelux`, `КП Бенелюкс`, `Александр Бенелюкс`.
Reference in New Issue View Git Blame Copy Permalink