oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
cb33ecb0d3b2d7a9b350b638c30b9addda716315
knowledge-base/projects/niikn/nspd-incident-report.md
dttb 9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
2026-04-21 11:07:20 +03:00

9.2 KiB
Raw Blame History

date, type, audience, tags
date type audience tags
2026-04-21 report management
niikn
nspd
incident
report

Отчёт: недоступность nspd.gov.ru из сети НИИКН

Дата: 21 апреля 2026 Статус: решено технически, ожидается долгосрочное решение от Росреестра Автор: Олег Батлаев (DevOps)

Краткая суть

С некоторого момента сотрудники НИИКН не могут открыть портал Росреестра Национальной системы пространственных данных (https://nspd.gov.ru/) — страница не грузится или возвращает сообщение «Запрещено». Проблема затрагивает всех пользователей, работающих с кадастром и пространственными данными.

Причина — не сбой у нас и не сбой у оператора связи. Защитная система Росреестра включила наш офисный интернет-адрес в список запрещённых. Это административно-сетевое решение стороны Росреестра.

Сейчас — доступ восстановлен техническим обходом, описанным ниже. Работа с порталом возможна в обычном режиме.

Что именно произошло

Портал НСПД использует защитную систему (WAF), которая автоматически блокирует подозрительные IP-адреса. В чёрный список попал целый корпоративный диапазон оператора МТСCustomers_P2P_B16 — к которому принадлежит и публичный адрес нашего офиса 85.235.181.190.

С других интернет-каналов (например, домашнего, с другого провайдера) тот же портал открывается без проблем. Блокировка действует только при обращении с нашего офисного IP, независимо от браузера, устройства и пользователя.

В блокировке на стороне Росреестра сотрудники НИИКН никаких нарушений не совершали — это, вероятно, коллективная блокировка целого диапазона МТС из-за действий сторонних клиентов оператора.

Что сделано для восстановления доступа

У нас есть отдельный резервный интернет-канал на другой удалённой площадке, с другим оператором связи (провайдер Telekom). Этот канал не заблокирован Росреестром.

Все обращения к порталу НСПД (и его поддоменам авторизации) теперь проходят через этот резервный канал автоматически, без каких-либо действий пользователя:

Компьютер сотрудника НИИКН
  │
  └─► по защищённому туннелю на вторую площадку (Proxmox "LionART")
       │
       └─► через её интернет-канал (провайдер Telekom)
            │
            └─► на портал nspd.gov.ru — доступ разрешён

Всё остальное — обычный интернет, рабочие сервисы, видеосвязь — по-прежнему идёт через основной канал МТС без изменений. Только обращения конкретно к серверам НСПД направляются в обход.

Что это даёт и насколько надёжно

  • Работает прозрачно для пользователя — сотрудник просто открывает https://nspd.gov.ru/ в браузере как обычно.
  • Работает для всех функций портала — включая вход в личный кабинет, API, любые поддомены.
  • Покрывает удалённых сотрудников — решение автоматически действует для удалёнщиков (Мексика, Казахстан, другие города), если у них на рабочем ноутбуке установлена наша корпоративная VPN-программа NetBird.
  • Не влияет на скорость остального интернета — только трафик к НСПД уходит в обход, остальной — как раньше.
  • Реализовано централизованно — администратор включил один раз, работает на всех машинах автоматически.

Что требуется от сотрудников и руководства

От сотрудников — ничего. Устанавливать программы, менять настройки, очищать кэш — не нужно. Работает из коробки.

Единственное условие — на рабочем компьютере должна быть установлена наша корпоративная VPN-программа NetBird. Она уже установлена на большинстве рабочих машин в НИИКН и у удалённых сотрудников. На новых машинах её устанавливает системный администратор при первичной настройке (это же нужно для многих других рабочих сервисов).

Если портал НСПД всё ещё не открывается у конкретного сотрудника — сообщить администратору. Вероятная причина — на компьютере не запущена или не настроена программа NetBird.

Риски и нюансы

Риск Оценка Что делать
Второй канал (LionART) может пропасть из-за аварии провайдера Telekom Низкий (дублирование через разных операторов — устойчивая схема) При аварии доступ к НСПД восстановится автоматически после возвращения канала
Росреестр расширит блокировку, включив новые подсети НСПД Средний Расширение списка обхода на стороне администратора — вопрос 5 минут
Новые сотрудники/ноутбуки без VPN NetBird Средний Стандартная процедура: установка NetBird включена в чек-лист настройки рабочего места

Что делать для долгосрочного решения

Техническое решение — это обход. Правильный путь — добиться исключения нашего корпоративного IP из чёрного списка Росреестра.

Рекомендуемые действия от руководства НИИКН:

  1. Звонок в службу поддержки Росреестра: 8-800-100-34-34. Суть обращения: «С корпоративного IP-адреса 85.235.181.190 не открывается портал nspd.gov.ru, WAF блокирует с правилом 57615a88d1ec0120b56fdce6. Просим разблокировать.»

  2. Письменное обращение через форму обратной связи портала: https://nspd.gov.ru/feedback. Приложить скриншот страницы «Запрещено» с указанным Client IP и Rule.

  3. Если поддержка Росреестра игнорирует — обращение в Минцифры или депутатский запрос. Услуга федерального значения, доступная только одному юрлицу — повод для формального разбирательства.

После разблокировки обход отключается за 30 секунд, портал начнёт работать напрямую.

Контакты для вопросов

Технический администратор: Олег Батлаев Внутренние ссылки (для IT-службы): ../../decisions/2026-04-21-niikn-nspd-netbird-route

Reference in New Issue View Git Blame Copy Permalink