knowledge-base/decisions/2026-05-29-niikn-diadoc-ozon-fix.md

---
date: 2026-05-29
type: decision
tags: [niikn, network, ozon, diadoc, podkop, netbird, lionart, troubleshooting]
---

# НИИКН: diadoc.ru и ozon.ru не открывались — два разных корня

Жалоба: «в НИИКН не заходит на www.diadoc.ru и на озон». Оказалось — **две независимые причины**, не связанные с (изначально подозреваемыми) потерянными overrides.

## Диагноз

| Сайт | Резолв на клиенте | Путь | Корень проблемы |
|------|-------------------|------|-----------------|
| **ozon.ru** | `198.18.x` (FakeIP) | podkop list `russia_outside` → sing-box → awg0 → **Финляндия** | Ozon гео-блокирует зарубежные IP. РФ-сайт нельзя гнать через финский выход. |
| **diadoc.ru** | `46.17.203.154` (реальный, direct) | клиент → MikroTik → **MTS WAN `85.235.181.190`** | MTS-IP **чёрная дыра** к Контуру (TCP timeout 12с). С LionART (`195.26.30.163`) — TCP/TLS ок, отдаёт 200 (на curl без UA — 403 анти-бот). |

Ключевое: пути у них **разные** (ozon — через туннель, diadoc — напрямую), поэтому и фиксы разные.

## Решения

### ozon.ru — DNS override (как nspd)
```sh
# OpenWrt 192.168.1.50
uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/77.88.8.8'
uci add_list dhcp.@dnsmasq[0].server='/ozon.ru/8.8.8.8'
uci commit dhcp && /etc/init.d/dnsmasq restart
```
Один override `/ozon.ru/` покрывает всю зону (`www`, `xapi`, `api`, `finance`). CDN `ozone.ru` и так был прямым. Теперь `*.ozon.ru` → реальный IP → прямой MTS (РФ-IP) → Ozon отдаёт сайт.

### diadoc.ru — маршрут через NetBird → pve-LionART (как nspd/zakupki)
```sh
# 1. NetBird route (id d8cljnbl0ubs7386r1ug)
#    46.17.203.0/24 (AS49675 SKB Kontur) → peer cuisnd3l0ubs73bsbbl0 (LionART), group cqgcidrl0ubs73f2hgf0
# 2. MikroTik 192.168.1.1:
/ip route add dst-address=46.17.203.0/24 gateway=192.168.1.201 comment="diadoc via NetBird->LionART"
# 3. MASQUERADE -s 192.168.1.0/24 -o wt0 на pve-niikn — уже стоял (systemd)
```
DNS-override для diadoc НЕ нужен — он и так резолвится в реальный IP.

## Проверка
- **diadoc:** с реального офисного ПК (maul-pc, 192.168.1.89, после `ipconfig /flushdns`) → `www.diadoc.ru` **HTTP 200**. ✅
- **ozon:** клиент резолвит реальный IP; серверы Ozon отвечают (307 + Set-Cookie). curl упирается в анти-бот «Доступ ограничен» (403) — но **одинаково с MTS и с LionART (двух разных чистых РФ-IP)** ⇒ блок по fingerprint curl, не по IP ⇒ **браузер JS-challenge проходит**. Маршрут через LionART для ozon смысла не имеет (там тот же 403). ✅

## Сопутствующие находки
- **awg0 туннель ЖИВ** (UP, `10.8.1.16/32`, ping через него 28мс). Раннее подозрение «туннель лёг» = ложная тревога: **busybox `ip` не поддерживает флаг `-br`** → `ip -br link` молча пуст. Проверять `ip addr show <if>` / `ip link show <if>` без `-br`. См. [[../projects/niikn/openwrt-bypass]].
- **`gosuslugi.ru` сейчас FakeIP'ится** (`198.18.2.204` → Финляндия) = сломан, override снова потерян. Прочие РФ-маркетплейсы (WB, СберМаркет, Я.Маркет, М.Видео, Авито) — direct, ок.
- `russia_outside` в podkop ловит РФ-сайты узко (ozon, gosuslugi), не массово. Если будут жалобы на другие РФ-сайты — проверять FakeIP и при необходимости рассмотреть удаление `russia_outside` из `community_lists` (для офиса в РФ финский выход для РФ-сайтов вреден).

## Связанные
- [[../projects/niikn/govru-quickfix-playbook]] — реестр overrides/routes обновлён
- [[2026-05-04-niikn-nspd-via-netbird-lionart]] — та же схема LionART для nspd
- [[../projects/niikn/openwrt-bypass]] — общая схема podkop+AWG