bf565f1392
Сегодня (mmfb / LionART 1C): - projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver), SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA. - projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100. - decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки, и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка → sc.exe config password= → start auto). Накопившийся backlog (без отдельной правки в эту сессию): - decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux compromise 2026-05-20, glavtorg autologon off, omni domain+update. - projects/: benilux README, buzharovo README+server1c, dttb (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients), glavtorg, sergey README, projects/_index. - claude-memory/: benelux, omniroute. - snippets/mac-dictation/groq-dictate.sh. - notes/claude/: ~80 авто-сохранённых транскриптов сессий за май. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
53 lines
2.9 KiB
Markdown
53 lines
2.9 KiB
Markdown
# Проект Бенелюкс — OpenWrt роутер
|
||
|
||
> **2026-05-20 СЕКЬЮРИТИ-ИНЦИДЕНТ.** Роутер был скомпрометирован через WAN-SSH brute-force. Подробности и список изменений: [[decisions/2026-05-20-benelux-compromise]]. Пароль root сменён (новый — в auto-memory), вход теперь только по mac-ed25519 ключу.
|
||
|
||
## Устройство
|
||
- Cudy TR3000 v1, OpenWrt 24.10.3 (MediaTek Filogic, aarch64)
|
||
- Hostname: Benelux
|
||
- SSH: только по ключу `~/.ssh/id_ed25519` (старый пароль `1qaz!QAZ` скомпрометирован, новый в auto-memory)
|
||
- SSH на WAN заблокирован nft-правилом из `/etc/nftables.d/99-incident-20260520.nft`
|
||
- Netbird VPN: 100.70.207.97 (wt0)
|
||
- WAN: eth0, DHCP от 10.0.0.1 (получает 10.0.0.190)
|
||
- LAN: br-lan, 192.168.1.1/24
|
||
- Wi-Fi: 2.4G (phy0-ap0) + 5G (phy1-ap0), оба в br-lan
|
||
|
||
## DHCP
|
||
- Диапазон: 192.168.1.2 — 192.168.1.254 (253 адреса, расширен)
|
||
- Leasetime: 12h
|
||
|
||
## VPN / Подкоп (Podkop v0.7.14)
|
||
- sing-box 1.12.22, статус: running
|
||
- Секция main: VPN через awg0 (AmneziaWG), список russia_inside
|
||
- Секция Vless: прокси VLESS-Singapore (202.71.12.186:443, Reality)
|
||
- DNS: DoH (https://common.dot.dns.yandex.net/dns-query), bootstrap: 77.88.8.8
|
||
- ВАЖНО: DNS переключён с UDP на DoH, т.к. домашний роутер (10.0.0.1) перехватывает порт 53 и имеет свой подкоп — двойная обработка вызывала context deadline exceeded
|
||
- FakeIP: 198.18.0.0/15, работает
|
||
- QUIC: отключён
|
||
- Clash API: 192.168.1.1:9090
|
||
- source_network_interfaces: br-lan
|
||
|
||
## AmneziaWG (awg0)
|
||
- IP: 10.8.1.60/32
|
||
- DNS: 1.1.1.1, 1.0.0.1
|
||
|
||
## Firewall
|
||
- wt0 (Netbird) добавлен в зону lan
|
||
- Masquerade на wan (eth0)
|
||
- PodkopTable в nftables — маркировка 0x00100000
|
||
|
||
## DNAT / Netbird правила
|
||
- Принтер HP M775 (192.168.1.148): `https://100.70.207.97:8148` → `:443`
|
||
- **2026-05-27:** правило сделано постоянным в `/etc/nftables.d/50-printer-dnat.nft` (chain `printer_dnat_pre` + `printer_masq_post`). Переживёт ребут Cudy.
|
||
|
||
## Mac (клиент, Бенелюкс)
|
||
- Hostname: macbook-pro.netbird.cloud
|
||
- Netbird IP: 100.70.242.212
|
||
- Статус: Connected (Relayed)
|
||
|
||
## Известные проблемы
|
||
- `ip: database tables is corrupted at line 14` — косметическая ошибка ip route
|
||
- `podkop check_proxy` не получает внешний IP (баг скрипта ash regex)
|
||
- sshpass не работает с Dropbear — использовать expect
|
||
- Netbird → полный маршрут 192.168.1.0/24 не работает без DNAT (только конкретные порты через DNAT)
|