3.5 KiB
date, type, tags
| date | type | tags | |
|---|---|---|---|
| 2026-03-04 | project |
|
MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
NAT (проброс портов)
| Порты | Назначение |
|---|---|
| 25,465,587,993,995,4190 | Mailcow (192.168.1.128) |
| 8448,3478 | Matrix (192.168.1.133) |
| 7881/tcp, 50100-50200/udp | LiveKit (192.168.1.133) |
| 3479,20000-20100,49152-49252 | Nextcloud Talk (192.168.1.200) |
| 21114-21119/tcp + 21116/udp | RustDesk (192.168.1.112) |
Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)
Маршруты для обхода блокировок (podkop)
/ip route add dst-address=198.18.0.0/15 gateway=192.168.1.50 comment=podkop-fakeip
/ip route add dst-address=91.108.4.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=91.108.8.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=91.108.12.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=91.108.16.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=91.108.20.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=91.108.56.0/22 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=109.239.140.0/24 gateway=192.168.1.50 comment=podkop-telegram
/ip route add dst-address=149.154.160.0/20 gateway=192.168.1.50 comment=podkop-telegram
FakeIP-диапазон ловит трафик по DNS (через sing-box). IP-подсети Telegram нужны отдельно, потому что нативный TG-клиент бьётся в IP датацентров напрямую, минуя DNS, и без маршрута уходит на WAN мимо OpenWrt → блок РКН → вечный "Connecting".
WG-туннель к LionART (NSPD bypass) — ОТКАЧЕНО
Публичный IP НИИКН (85.235.181.190, MTS Customers_P2P_B16) заблокирован WAF Росреестра → nspd.gov.ru отдаёт Forbidden. 2026-04-20 поднимали WG-туннель wg-lionart к MikroTik LionART (маршрут 2.63.246.0/24 через туннель). Технически работало, но общий трафик НИИКН замедлился → откатили вечером того же дня.
Сейчас на роутере НИИКН WG-интерфейсов нет. Поиск стабильного решения — задача поставлена Максимке. Полная история, ключи и rollback-команды: decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md.
DHCP
/ip dhcp-server network set 0 dns-server=192.168.1.50
Клиенты получают DNS 192.168.1.50 (OpenWrt/sing-box FakeIP).
Подробнее об обходе блокировок: openwrt-bypass.md
MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
- NAT: 25,465,587,993,995,4190→Mailcow(192.168.1.128); 8448,3478→Matrix(192.168.1.133); 7881/tcp,50100-50200/udp→LiveKit(192.168.1.133); 3479,20000-20100,49152-49252→NC(192.168.1.200); 21114-21119/tcp+21116/udp→RustDesk(192.168.1.112)
- Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)