57 lines
2.0 KiB
Markdown
57 lines
2.0 KiB
Markdown
---
|
||
date: 2026-04-30
|
||
type: decision
|
||
tags: [decision, niikn, network, dns, podkop]
|
||
---
|
||
|
||
# 2026-04-30: Открыть culture.gov.ru из НИИКН (DNS override)
|
||
|
||
## Проблема
|
||
|
||
Сотрудники НИИКН — не открывается `https://culture.gov.ru/` (Минкультуры РФ).
|
||
|
||
## Диагноз
|
||
|
||
По алгоритму [[notes/govru-diagnosis]]:
|
||
|
||
| Точка | HTTP | Real IP |
|
||
|-------|------|---------|
|
||
| Mac (Ростелеком Истра) | 200 | 194.190.9.31 |
|
||
| pve-niikn vmbr0 (МТС B2B) | 200 | 194.190.9.31 |
|
||
| OpenWrt 192.168.1.50 nslookup → sing-box (127.0.0.42) | — | **198.18.0.96 (FakeIP)** |
|
||
| OpenWrt curl через AWG | 000 | (Минкульт блочит зарубежные IP) |
|
||
|
||
МТС B2B не блочит, сайт живой. **Причина** — `culture.gov.ru` подпадает под podkop community-list, DNS подменяется FakeIP, трафик уходит в awg0 Финляндию, оттуда Минкульт даёт Forbidden/timeout. Тот же паттерн, что `zakupki.gov.ru` и `sev.gov.ru`.
|
||
|
||
## Решение
|
||
|
||
OpenWrt `192.168.1.50` — добавлен домен в dnsmasq `server=`:
|
||
|
||
```bash
|
||
ssh root@192.168.1.50
|
||
uci add_list dhcp.@dnsmasq[0].server='/culture.gov.ru/8.8.8.8'
|
||
uci commit dhcp
|
||
/etc/init.d/dnsmasq restart
|
||
```
|
||
|
||
NetBird route **НЕ требуется**.
|
||
|
||
## Проверка
|
||
|
||
```
|
||
DNS 192.168.1.50: culture.gov.ru → 194.190.9.31, 194.190.9.32
|
||
pve-niikn curl: HTTP 200, 74 ms через МТС WAN
|
||
```
|
||
|
||
Клиентам НИИКН — `ipconfig /flushdns` для сброса кэша FakeIP.
|
||
|
||
## Текущий список dnsmasq override на 192.168.1.50
|
||
|
||
```
|
||
'127.0.0.42' # podkop sing-box
|
||
'/nspd.gov.ru/8.8.8.8' # + NetBird route 2.63.246.0/24
|
||
'/zakupki.gov.ru/8.8.8.8' # только DNS
|
||
'/sev.gov.ru/8.8.8.8' # только DNS
|
||
'/culture.gov.ru/8.8.8.8' # только DNS — добавлено сегодня
|
||
```
|