oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
e91e216815204c315ed60977f719b5026211fd37
knowledge-base/decisions/2026-04-17-peredelki-podkop-stability-fix.md

3.1 KiB
Raw Blame History

2026-04-17: Стабилизация Podkop на Переделках

Проблема

Жалоба: Podkop на объекте Переделки (OpenWrt 100.70.197.125) плохо обходит блокировки, работает нестабильно.

Диагностика

Туннель AWG (wg0 → 78.17.4.225 Финляндия) был исправен:

  • Handshake свежий, 0% packet loss, выход через 78.17.4.225
  • FakeIP DNS резолвит в 198.18.0.x для всех проверенных доменов

Три реальные причины нестабильности:

1. disable_quic = 0 (ГЛАВНАЯ)

QUIC (HTTP/3 на UDP:443) не перехватывался FakeIP. YouTube/Google/Meta/Instagram в Chrome/Firefox fallback'или на QUIC и шли напрямую, минуя VPN → обход ломался избирательно для этих сервисов.

2. sing-box не в автозапуске

/etc/init.d/sing-box enabled → exit 1. При ребуте роутера sing-box не поднимался автоматически, podkop подхватывал его через start_service, но на это нельзя полагаться.

3. shutdown_correctly = 0

При выключении nftables-правила podkop не снимались корректно.

Исправление

ssh root@100.70.197.125  # 1qaz!QAZ

# 1. Блокировка QUIC (сбрасывает HTTP/3 на TCP/TLS)
uci set podkop.settings.disable_quic='1'
uci set podkop.settings.shutdown_correctly='1'
uci commit podkop

# 2. Автозапуск sing-box
/etc/init.d/sing-box enable

# 3. Применить
podkop restart

Результат

Параметр До После
disable_quic 0 1
shutdown_correctly 0 1
sing-box autostart DISABLED ENABLED (/etc/rc.d/S99sing-box)
podkop autostart ENABLED ENABLED
AWG handshake свежий свежий
Выход в инет 78.17.4.225 78.17.4.225

FakeIP DNS проверен для: youtube, instagram, whatsapp, web.telegram.org, facebook, tiktok — все резолвятся в 198.18.0.x.

В sing-box config.json подтверждено правило для protocol: quic на tproxy-in → QUIC-трафик к заблокированным доменам идёт через VPN.

Важное на будущее

  1. disable_quic=1 обязателен на FakeIP + sing-box — без этого браузеры будут произвольно использовать HTTP/3 мимо обхода.
  2. Проверять автозапуск sing-box после установки/обновления Podkop — установщик не всегда включает его в procd.
  3. podkop restart может сбрасывать shutdown_correctly — это баг, перепроверять значение после рестарта.

Теги

#niikn #peredelki #podkop #amneziawg #bypass #quic #stability #fix

Reference in New Issue View Git Blame Copy Permalink