oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
cb33ecb0d3b2d7a9b350b638c30b9addda716315
knowledge-base/projects/niikn/mikrotik.md
dttb 9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
2026-04-21 11:07:20 +03:00

57 lines
2.2 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-03-04
type: project
tags: [niikn]
---
# MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
## NAT (проброс портов)
| Порты | Назначение |
|-------|------------|
| 25,465,587,993,995,4190 | Mailcow (192.168.1.128) |
| 8448,3478 | Matrix (192.168.1.133) |
| 7881/tcp, 50100-50200/udp | LiveKit (192.168.1.133) |
| 3479,20000-20100,49152-49252 | Nextcloud Talk (192.168.1.200) |
| 21114-21119/tcp + 21116/udp | RustDesk (192.168.1.112) |
Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)
## Маршруты для обхода блокировок (podkop)
```
/ip route add dst-address=198.18.0.0/15 gateway=192.168.1.50 comment=podkop-fakeip
```
Трафик на FakeIP-диапазон направляется на OpenWrt (192.168.1.50) с podkop.
## Обход блокировки nspd.gov.ru
Публичный IP НИИКН (`85.235.181.190`, MTS Customers_P2P_B16) в blacklist WAF НСПД. Решение — **NetBird Network Route `2.63.246.0/24 → pve-LionART`** (exit через LionART WAN `195.26.30.163`) + DNS override в OpenWrt dnsmasq (`server=/nspd.gov.ru/8.8.8.8`, минует FakeIP sing-box). **На MikroTik НИИКН изменений нет.**
Подробности: [[../../decisions/2026-04-21-niikn-nspd-netbird-route]].
## DHCP
```
/ip dhcp-server network set 0 dns-server=192.168.1.50
```
Клиенты получают DNS 192.168.1.50 (OpenWrt/sing-box FakeIP).
> Подробнее об обходе блокировок: [openwrt-bypass.md](openwrt-bypass.md)
<!-- AUTO-SYNC FROM MEMORY.MD - DO NOT EDIT BELOW -->
## MikroTik НИИКН (192.168.1.1)
- SSH: AI / OL260380eg
- RouterOS 7.20.6, модель hAP ac³
- WAN IP: 85.235.181.190
- NAT: 25,465,587,993,995,4190→Mailcow(192.168.1.128); 8448,3478→Matrix(192.168.1.133); 7881/tcp,50100-50200/udp→LiveKit(192.168.1.133); 3479,20000-20100,49152-49252→NC(192.168.1.200); 21114-21119/tcp+21116/udp→RustDesk(192.168.1.112)
- Hairpin NAT: NPM(80,443), TURN(3478→133), Talk TURN(3479→200), RustDesk(21114-21119→112)
<!-- END AUTO-SYNC -->
Reference in New Issue View Git Blame Copy Permalink