9a203fef4a
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию, поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже блок) на два централизованных изменения: - NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All: pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах. - OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163), WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api). Снесено: - nspd-socat.service на pve-LionART - DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART - bat-снипы niikn-nspd-hosts-install/uninstall - hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202) Протестировано: fallback через awg0 для non-NetBird клиентов не работает — НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не откроют НСПД до установки NetBird. Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
2.2 KiB
2.2 KiB
date, type, tags
| date | type | tags | |
|---|---|---|---|
| 2026-03-04 | project |
|
MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
NAT (проброс портов)
| Порты | Назначение |
|---|---|
| 25,465,587,993,995,4190 | Mailcow (192.168.1.128) |
| 8448,3478 | Matrix (192.168.1.133) |
| 7881/tcp, 50100-50200/udp | LiveKit (192.168.1.133) |
| 3479,20000-20100,49152-49252 | Nextcloud Talk (192.168.1.200) |
| 21114-21119/tcp + 21116/udp | RustDesk (192.168.1.112) |
Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)
Маршруты для обхода блокировок (podkop)
/ip route add dst-address=198.18.0.0/15 gateway=192.168.1.50 comment=podkop-fakeip
Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
Обход блокировки nspd.gov.ru
Публичный IP НИИКН (85.235.181.190, MTS Customers_P2P_B16) в blacklist WAF НСПД. Решение — NetBird Network Route 2.63.246.0/24 → pve-LionART (exit через LionART WAN 195.26.30.163) + DNS override в OpenWrt dnsmasq (server=/nspd.gov.ru/8.8.8.8, минует FakeIP sing-box). На MikroTik НИИКН изменений нет.
Подробности: ../../decisions/2026-04-21-niikn-nspd-netbird-route.
DHCP
/ip dhcp-server network set 0 dns-server=192.168.1.50
Клиенты получают DNS 192.168.1.50 (OpenWrt/sing-box FakeIP).
Подробнее об обходе блокировок: openwrt-bypass.md
MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
- NAT: 25,465,587,993,995,4190→Mailcow(192.168.1.128); 8448,3478→Matrix(192.168.1.133); 7881/tcp,50100-50200/udp→LiveKit(192.168.1.133); 3479,20000-20100,49152-49252→NC(192.168.1.200); 21114-21119/tcp+21116/udp→RustDesk(192.168.1.112)
- Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)