oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
9a203fef4a1965825afaa1899c423542de70dd9d
knowledge-base/projects/mmfb/mikrotik.md
dttb 9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
2026-04-21 11:07:20 +03:00

1.2 KiB
Raw Blame History

date, type, tags
date type tags
2026-04-20 project
mmfb
lionart
network

MikroTik LionART (10.253.1.1, hydropark)

Доступ

  • LAN IP: 10.253.1.1/24 (bridge1)
  • Login: AI / OL260380eg
  • Identity: hydropark
  • Модель: hAP ac³, RouterOS 7.16.2 stable

Сеть

  • WAN: ether1-gw-telekom, публичный IP 195.26.30.163/27, gateway 195.26.30.161 (Telekom)
  • LAN: bridge1, 10.253.1.0/24
  • NAT: masquerade на out-interface=ether1-gw-telekom (WAN)

Bypass для НСПД (активно)

MikroTik LionART в этом не участвует — только обычный WAN masquerade. NSPD bypass сделан на уровне NetBird Network Route 2.63.246.0/24 → pve-LionART (10.253.1.253). Трафик выходит через обычный NAT LionART с src=195.26.30.163, который WAF НСПД пропускает.

Подробности: ../../decisions/2026-04-21-niikn-nspd-netbird-route.

Firewall (важное)

Дефолтный forward chain пропускает только LAN (10.253.1.0/24). Для NetBird-форварда pve-LionART ходит наружу через обычный masq как любой LAN-клиент.

Reference in New Issue View Git Blame Copy Permalink