b7bd90ae87
- workflow-скан vault → 10 OpenWrt-роутеров, ping по NetBird (7 UP, 3 down: Olivier/Переделки/Красногорск) - Sergey/Lipki = клиенты с подкопом, дублируются в обеих группах (правка Олега) - итого 8 групп / 45 сервисов Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
5.1 KiB
date, type, tags, status
| date | type | tags | status | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2026-06-27 | decision |
|
done |
Бенелюкс — иностранные банки/сервисы клиента не грузились (фикс через EU-выход)
Жалоба
Александр (КП Бенелюкс, Истра — объект в РФ): «всё стабильно, но многие иностранные сайты не грузятся». Примеры: m.vodafone.es, connexion-mabanque.bnpparibas, auth.entreprises-collectivites.edf.fr, online.emiratesnbd.com.
Диагноз
Эти домены не входили ни в один список podkop (russia_inside,telegram,meta) → резолвились реально → шли напрямую через российский WAN-IP 45.143.21.60 («Умные сети»). Иностранные банки режут российские IP (гео/санкции). Прямой curl с роутера подтвердил: BNP → 403, EDF → 503, Emirates NBD → 403 (Vodafone отдавал 200, но login-флоу гео-чувствителен).
Это зеркало типовой грабли inside/outside: обычно лечим «РФ-сайт ушёл в туннель», здесь наоборот — иностранный сервис остался вне туннеля и выходит российским IP.
Находка
EXIT туннеля 202.71.12.186 (awg0/VLESS) по ip-api = Finland / Helsinki / Hostkey B.V., а НЕ Сингапур, как писалось в доках. EU-выход — идеален для ES/FR/AE-сайтов. Доки поправлены (../claude-memory/benelux, ../snippets/podkop-reference).
Фикс (устойчивый — user_domains, не dnsmasq-override)
cp /etc/config/podkop /etc/config/podkop.bak-20260627-170552
for d in vodafone.es edf.fr emiratesnbd.com mabanque.bnpparibas connexion-mabanque.bnpparibas; do
uci add_list podkop.main.user_domains="$d"
done
uci commit podkop && /etc/init.d/podkop restart
killall -HUP dnsmasq
user_domain_list_type=dynamic уже стоял. Способ устойчив к реконфигу (в отличие от dnsmasq-override, который podkop перетирает).
Проверка (через финский выход, EU-резолв + браузерные заголовки)
| Сайт | российский IP | EU-выход |
|---|---|---|
| vodafone.es | 200 | 200 ✅ |
| emiratesnbd.com | 403 | 200 ✅ |
| edf.fr | 503 | 404 (приложение отвечает; голый / без query → 404, реальный auth-URL откроется) ✅ |
| bnpparibas | 403 | 403 — Akamai Bot Manager на «голый» curl (одинаково RU/FI = не гео); в браузере с JS/cookies проходит |
Контроль: домены → FakeIP 198.18.x; youtube остался в туннеле; ozon напрямую (РФ не сломан).
Грабли по ходу (на будущее)
- curl с самого роутера НЕ показатель выхода: локально-сгенерированный трафик роутера не заворачивается в tproxy (podkop ловит только форвард LAN).
curl https://api.ipify.orgс роутера вернул российский IP даже после добавления в список. Честный egress-тест:curl --interface awg0 https://api.ipify.org(домен вне списка → реальный резолв → src=awg0 через SO_BINDTODEVICE → выход =202.71.12.186Финляндия). - Домен в списке +
curl --interface awg0без--resolve→ системный DNS даёт FakeIP198.18.x→ curl шлёт фейк в туннель → ложный 000. Для теста подставлять реальный IP через--resolve.
Клиенту (Александр)
Сайты теперь идут через EU-выход. На устройстве: сбросить DNS-кэш / переподключить Wi-Fi. Если iPhone — Wi-Fi → (i) → «Ограничение отслеживания IP-адреса» ВЫКЛ. BNP Paribas откроется именно в браузере (анти-бот пускает реальный браузер, curl — нет).
TODO (если BNP всё же капризничает)
Akamai Bot Manager BNP может требовать «чистый» браузерный fingerprint. Если у клиента не откроется — проверить, не словил ли его собственный VPN/Private Relay на устройстве; при необходимости добавить сопутствующие домены логин-флоу BNP в user_domains.
См. ../snippets/podkop-reference §6 (user_domains), ../claude-memory/benelux, 2026-06-26-benelux-podkop-recovery-watchdog.