oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
4f348d1784bcae2f37199980ba45c603349f9a32
knowledge-base/projects/benilux/README.md
dttb bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-29 12:33:03 +03:00

97 lines
5.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-05-06
updated: 2026-05-20
type: project
status: active
tags: [object, openwrt, netbird, client, istra, podkop, residential]
aliases: [Benilux, benilux, Бенелюкс, "OpenWrt Benilux"]
---
# Бенелюкс — клиентский OpenWrt в КП Бенелюкс (Истра)
Коттеджный посёлок Бенелюкс под Истрой. На объекте только домашний роутер; **назначение — обход блокировок через podkop**. Никаких бизнес-сервисов, 1С, видеонаблюдения и т.п. не крутится — критичность инцидентов с точки зрения утечки данных низкая, риск только в репутации WAN-IP.
## Контакт
| | |
|---|---|
| Клиент | Александр |
| Локация | КП Бенелюкс, Истра |
## Роутер
| Параметр | Значение |
|---|---|
| Модель | Cudy TR3000 v1 (MediaTek Filogic, aarch64) |
| Hostname | `Benelux` |
| OpenWrt | 24.10.3 |
| NetBird IP | `100.70.207.97` (агент 0.59.13, группы `All`, `OpenWRT VPN`) |
| WAN | eth0, DHCP от 10.0.0.1, последний WAN-IP `45.143.21.60` |
| LAN | `192.168.1.0/24` на `br-lan` (Wi-Fi 2.4 + 5 ГГц в одном бридже) |
| SSH | **по ключу** `~/.ssh/id_ed25519` (PasswordAuth выключен, новый пароль root — в [[credentials]]) |
## Что работает в сети
**Cudy = только шлюз/podkop + DHCP + NetBird-bridge.** Wi-Fi и доступ к LAN — через систему Unifi за ним.
### На Cudy
- **podkop v0.7.14** + sing-box 1.12.22 — обход блокировок:
- Main: VPN через `awg0` (AmneziaWG), списки `russia_inside` + `telegram` + `meta` (последние два добавлены 2026-05-20 — без них Telegram не резолвился в FakeIP)
- Vless: VLESS-Singapore (`202.71.12.186:443`, Reality)
- DNS: DoH (`https://common.dot.dns.yandex.net/dns-query`), bootstrap 77.88.8.8
- FakeIP: `198.18.0.0/15`, QUIC отключён
- Clash API: `192.168.1.1:9090`
- **NetBird** для удалённого доступа (`100.70.207.97`)
- **DHCP** `192.168.1.2 — 192.168.1.254` (leasetime 12h)
- **Принтер HP M775**: проброшен через DNAT с NetBird-IP (`https://100.70.207.97:8148``192.168.1.148:443`)
### Unifi-сегмент за Cudy
В LAN — Unifi AP/Switch (3 устройства c MAC `70:a7:41:*`):
| IP | MAC | Hostname | Состояние |
|---|---|---|---|
| `192.168.1.199` | `70:a7:41:79:ef:29` | `Benelyuks` | активно, шлёт UDP discovery 10001 в broadcast + пытается `192.168.28.34:8381` (см. ниже) |
| `192.168.1.192` | `70:a7:41:9a:9e:92` | — | тихо |
| `192.168.1.101` | `70:a7:41:c1:33:0a` | — | тихо |
**К какому контроллеру они adopted — пока не выяснено.** Точные факты по состоянию на 2026-05-20:
- К общему LXC 116 на pve-niikn (`100.70.138.234 unifi-controller.netbird.cloud`) inform-трафика **нет**
- К UDM-Pro Знаменского inform-трафика **нет**
- На Cudy нет ни `unifi-proxy` (socat), ни DNS-override `unifi → …`, ни DNAT для 8080/8443/3478
- Устройство `192.168.1.199` шлёт TCP SYN на `192.168.28.34:8381` (UISP/AirControl/самосбор?) — этот IP не в NetBird, Cudy роутит его в WAN-шлюз провайдера, пакеты уходят без ответа
- Hostname `Benelyuks` у одного из устройств — значит когда-то было adopted (имя задаётся при provision)
Возможные гипотезы:
1. AP/Switch — наследие старого setup, контроллер которого больше недоступен
2. Был отдельный standalone-контроллер где-то в LAN, сейчас не работает
3. `192.168.28.34` — IP контроллера в L3-сети провайдера / другого объекта, к которому потеряна маршрутизация
> **TODO**: уточнить у Олега. Если устройства orphaned — стоит решить: factory-reset + adopt в LXC 116, либо демонтаж.
### Известные клиенты в LAN
- Samsung S23 «пользователя Нина» (192.168.1.128)
- MacBook «Mac» (192.168.1.231)
- Cisco IP-телефон `SEP00235EB76EBE` (192.168.1.216)
- HP принтер `NPI0EC3A9` (192.168.1.152)
- HP M775 (192.168.1.148, через DNAT для удалённой печати)
- ~30 других клиентов (Wi-Fi с Netgear-чипами, IoT и т.п.)
Полные конфиги Cudy: [[claude-memory/benelux]] и [[claude-memory/benelux-topology]].
## Конфликт подсетей
`192.168.1.0/24` в Бенелюксе пересекается с:
- LAN UDM-Pro Знаменского (`192.168.1.0/24`)
- pve-niikn (анонсирует `192.168.1.0/24` в NetBird → mac при попытке зайти на 192.168.1.X через NetBird попадёт в НИИКН, не в Бенелюкс)
При работе через NetBird с Mac на хост в Бенелюксе — используй NetBird-IP конкретного пира, не его LAN-IP.
## История инцидентов
- **2026-05-20** — компрометация через WAN-SSH brute-force; роутер несколько часов рассылал спам и брутил чужие SSH. Закрыто, см. [[decisions/2026-05-20-benelux-compromise]].
## Aliases для FTS
`Benilux`, `Бенелюкс`, `OpenWrt Benilux`, `100.70.207.97`, `Истра-Benelux`, `КП Бенелюкс`, `Александр Бенелюкс`.
Reference in New Issue View Git Blame Copy Permalink