oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
e91e216815204c315ed60977f719b5026211fd37
knowledge-base/decisions/2026-04-17-peredelki-podkop-stability-fix.md

63 lines
3.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# 2026-04-17: Стабилизация Podkop на Переделках
## Проблема
Жалоба: Podkop на объекте Переделки (OpenWrt 100.70.197.125) плохо обходит блокировки, работает нестабильно.
## Диагностика
Туннель AWG (wg0 → 78.17.4.225 Финляндия) был исправен:
- Handshake свежий, 0% packet loss, выход через 78.17.4.225
- FakeIP DNS резолвит в 198.18.0.x для всех проверенных доменов
Три реальные причины нестабильности:
### 1. `disable_quic = 0` (ГЛАВНАЯ)
QUIC (HTTP/3 на UDP:443) не перехватывался FakeIP. YouTube/Google/Meta/Instagram в Chrome/Firefox fallback'или на QUIC и шли напрямую, минуя VPN → обход ломался избирательно для этих сервисов.
### 2. sing-box не в автозапуске
`/etc/init.d/sing-box enabled` → exit 1. При ребуте роутера sing-box не поднимался автоматически, podkop подхватывал его через `start_service`, но на это нельзя полагаться.
### 3. `shutdown_correctly = 0`
При выключении nftables-правила podkop не снимались корректно.
## Исправление
```bash
ssh root@100.70.197.125 # 1qaz!QAZ
# 1. Блокировка QUIC (сбрасывает HTTP/3 на TCP/TLS)
uci set podkop.settings.disable_quic='1'
uci set podkop.settings.shutdown_correctly='1'
uci commit podkop
# 2. Автозапуск sing-box
/etc/init.d/sing-box enable
# 3. Применить
podkop restart
```
## Результат
| Параметр | До | После |
|----------|-----|-------|
| disable_quic | 0 | 1 |
| shutdown_correctly | 0 | 1 |
| sing-box autostart | DISABLED | ENABLED (`/etc/rc.d/S99sing-box`) |
| podkop autostart | ENABLED | ENABLED |
| AWG handshake | свежий | свежий |
| Выход в инет | 78.17.4.225 | 78.17.4.225 |
FakeIP DNS проверен для: youtube, instagram, whatsapp, web.telegram.org, facebook, tiktok — все резолвятся в 198.18.0.x.
В sing-box config.json подтверждено правило для `protocol: quic` на `tproxy-in` → QUIC-трафик к заблокированным доменам идёт через VPN.
## Важное на будущее
1. **`disable_quic=1` обязателен на FakeIP + sing-box** — без этого браузеры будут произвольно использовать HTTP/3 мимо обхода.
2. **Проверять автозапуск sing-box после установки/обновления Podkop** — установщик не всегда включает его в procd.
3. **`podkop restart` может сбрасывать `shutdown_correctly`** — это баг, перепроверять значение после рестарта.
## Теги
`#niikn` `#peredelki` `#podkop` `#amneziawg` `#bypass` `#quic` `#stability` `#fix`
Reference in New Issue View Git Blame Copy Permalink