9a203fef4a
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию, поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже блок) на два централизованных изменения: - NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All: pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах. - OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163), WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api). Снесено: - nspd-socat.service на pve-LionART - DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART - bat-снипы niikn-nspd-hosts-install/uninstall - hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202) Протестировано: fallback через awg0 для non-NetBird клиентов не работает — НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не откроют НСПД до установки NetBird. Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
4.8 KiB
4.8 KiB
date, type, tags
| date | type | tags | ||
|---|---|---|---|---|
| 2026-04-17 | project |
|
ММФБ — Proxmox инвентарь
Доступ
- Netbird IP: 100.70.128.49
- LAN IP (vmbr0): 10.253.1.253/24
- Пользователь: root /
1qaz!QAZ - Hostname: pve
- Версия: pve-manager/8.4.14, kernel 6.8.12-15-pve
Железо
- CPU: Intel Xeon E5-2630 v2 @ 2.60GHz, 24 ядра
- RAM: 125 GiB
- Swap: 8 GiB
- Диски:
- sdc 894 GB (Intel SSD) — системный LVM (
pve-root96G,pve-data757G thin-pool: диски VM 100/101/102) - sdd 3.6 TB (HGST) —
/mnt/pve/Work(диск 1С 600G, rootfs LXC 105, dump, templates) - sda 1.8 TB (Toshiba) + sdb 2.7 TB (Toshiba) — объединены в LVM
archive-vg/archive→/mnt/pve/Archive(ext4, 4.55 TB для видеоархива AgentDVR)
- sdc 894 GB (Intel SSD) — системный LVM (
Сеть
- vmbr0: 10.253.1.253/24, шлюз 10.253.1.1 (MAC d4:ca:6d:18:f2:be)
- wt0 (Netbird): 100.70.128.49/16
Виртуальные машины (VM)
| VMID | Name | OS | Cores | RAM | Disk | IP | MAC | Статус |
|---|---|---|---|---|---|---|---|---|
| 100 | 1C | win11 | 4 | 65 GB | 150 GB + 54 GB | 10.253.1.240 | DE:D9:70:9B:A3:19 | running (agent=1) |
| 101 | WinServer2025 | win11 | 2 | 20 GB | 100 GB | 10.253.1.6 | BC:24:11:D4:AE:68 | running |
| 102 | OVPN | l26 | 6 | 4 GB | 100 GB | — | AA:54:D6:B9:FD:01 | running |
Контейнеры (LXC)
| CTID | Hostname | OS | Cores | RAM | IP | Назначение |
|---|---|---|---|---|---|---|
| 103 | NPM | ubuntu | 2 | 8.5 GB | 10.253.1.25 | Docker: nginx-proxy-manager + portainer |
| 105 | agentdvr | ubuntu | 6 | 16 GB | 10.253.1.40 | AgentDVR (видеонаблюдение), archive 4.55 TB (LVM на sda+sdb) |
Сервисы
- LXC 103 (NPM): Docker контейнеры
npm-app-1(jc21/nginx-proxy-manager, порты 80/81/443) иportainer-ce(8000/9443). Работают ~15 месяцев. - LXC 105 (agentdvr): systemd
AgentDVR.service. Архив — новый LVMarchive-vg/archive(ext4, 4.55 TB) на отдельных sda+sdb. Скорость записи ~140 GB/день → глубина архива ~32 дня максимум. Retention в cron: 14 дней (/AgentDVR/cleanup_old_recordings.sh, 03:00 ежедневно). 11 камер, названия10.253.1.{21,27,32,33,35,37,38,39,41,42,43}. Камера 10.253.1.27 "Camera 2 mic" периодически не отвечает по ONVIF (в логахInvalid Source) — разобраться отдельно.
Роль в NetBird
- pve-LionART выступает exit-node для NetBird routes:
10.253.1.0/24→ LAN ММФБ (группа All)0.0.0.0/0→ группа Москва (роуминг-клиенты)2.63.246.0/24→ NSPD bypass для группы All (см. ../../decisions/2026-04-21-niikn-nspd-netbird-route)
История изменений
- 2026-04-21 (позже): NetBird route
2.63.246.0/24 → pve-LionARTсоздан для обхода блокировки nspd.gov.ru на всех пирах (НИИКН, Мексика, Казахстан). Старыйnspd-socat.service+ DNAT на LionART снесены (были не нужны — проблема корневая была в FakeIP OpenWrt). - 2026-04-21: поднят
nspd-socat.serviceна хосте для обхода блокировки nspd.gov.ru у НИИКН. Заменил WG-туннель wg-niikn на MikroTik LionART (откачен 2026-04-20). Снят тем же днём (не решал auth-поддомены). - 2026-04-17: создан LVM
archive-vgна sda+sdb (4.55 TB), ext4,/mnt/pve/Archive. mp1 LXC 105 переключен с loop-файла 500G на новый LVM. Удалён/mnt/pve/Work/ct-105-archive500.img(освободил 500G на sdd). Очищено 105G скрытых данных под mountpoint/AgentDVR/Media/WebServerRoot/Mediaв rootfs LXC 105 (rootfs был 100% → 2%). Retention поднят с 7 до 14 дней. - 2026-04-17: все 11 камер переведены с continuous (
recordmode=2) на запись по движению (detector.type=Simple,recordmode=0,recordondetect=True). Ожидаемая экономия ~50-80%, глубина архива до ~30 дней. - 2026-04-17: в NPM (LXC 103, 10.253.1.25:81) создан proxy host
dvr-mmfb.dttb.ru→10.253.1.40:8090(id=9, WebSockets=ON). Ждёт DNS A-записи.