oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
ead03fcf9f49dbae33b017b7bbb7336b6c243cbb
knowledge-base/projects/openwrt-4/credentials.md
dttb 098b1fe421 manual sync
2026-06-23 13:58:02 +03:00

112 lines
11 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-06-02
type: credentials
status: active
tags: [openwrt-4, olivier, credentials, vps, hostkey, amneziawg, france, canal-plus]
aliases: [Olivier creds, openwrt-4 credentials, fr-vmnano, 151.243.217.139, Оливье креды]
---
# OpenWrt_4 / Оливье — креды
> Клиент: **Оливье** (француз, Москва). Роутер Cudy TR3000 = NetBird `olivier-cudy` (`olivier-cudy.netbird.cloud`; имя было `OpenWrt_4`). Французская выходная нода для обхода РКН + **Canal+**. Рунбук: [[canal-plus-setup-runbook]] · проект: [[README]].
## Французский VPS — выходная нода (HOSTKEY Paris)
| Параметр | Значение |
|---|---|
| IP | `151.243.217.139` |
| Hostname | `fr-vmnano` |
| Провайдер / ASN | **HOSTKEY B.V.** AS57043, Paris PAR3 (Vélizy) |
| Гео | FR (Paris) — MaxMind/ipinfo/geojs = **FR**; RIPE inetnum зарегистрирован **NL** (лизованный блок, гео «догоняет»); ip-api протухший US |
| OS / virt | Ubuntu 22.04.5 LTS, **KVM**, `/dev/net/tun` ✓ |
| Ресурсы | 2 vCPU / 1.8 GB RAM / 58 GB NVMe |
| **SSH** | `ssh root@151.243.217.139` пароль **`jIKk7U-Vn-`** |
## AmneziaWG-сервер (развёрнут приложением AmneziaVPN, 2026-06-02)
- Docker-контейнер **`amnezia-awg2`**, слушает **UDP 44221** (`0.0.0.0:44221`).
- Протокол **AmneziaWG 1.5** (продвинутая обфускация: H-диапазоны, S3/S4, I1 = iCloud-mimic). ⚠️ совместимость с OpenWrt — см. ниже.
- Файлы в контейнере: `/opt/amnezia/awg/awg0.conf`, `wireguard_*_key.key`, `clientsTable`.
### Ключи сервера
| | |
|---|---|
| Server **PublicKey** | `wyN+ob6bWvDsBHw6gVBO11YmpG1kYVO6OqnGtwJx5zs=` |
| Server **PrivateKey** | `cG1x+PTnszCDjQxqkzR7vKNI2vMRnwKdfMnD2Eo0s24=` |
| **PresharedKey** (общий на всех пиров) | `eRtyuG6UdQqKxKK/lmWkosR3n0PUNUH9u45CXVNnsS8=` |
| **Endpoint** (для клиентов) | `151.243.217.139:44221` |
| Внутренняя сеть | `10.8.1.0/24` |
### Обфускация (должна 1:1 совпадать на клиенте)
```
Jc=5 Jmin=10 Jmax=50
S1=97 S2=99 S3=63 S4=7
H1=525652870-1032659689
H2=2143742042-2146202402
H3=2146939599-2147410002
H4=2147455965-2147472644
I1=<r 2><b 0x858000010001000000000669636c6f756403636f6d0000010001c00c000100010000105a00044d583737> # фейк-DNS под icloud.com
```
### Пиры (clientsTable)
| IP | Имя | PublicKey | Чей |
|---|---|---|---|
| 10.8.1.1 | Admin [macOS Tahoe 26.5] | `UP9e4STNvLh8nDR2A13YBN0OGbKzTng7c9dK/TvnFic=` | Mac Олега |
| 10.8.1.2 | Admin [iOS 26.5] | `gKXG3SMO+wzkASo3MIqhXNtmngRr6Hq5q9uSZFK+AE8=` | iPhone Олега |
| 10.8.1.3 | Cudy Оливье ✅ | `rbAob0v1xZFrehdDyBokOoOp89GEt7UJcoq7aqoD6Hk=` | **роутер Оливье** (подтверждено: awg0 работает, FR) |
> Клиентские **приватные** ключи только в экспортах приложения AmneziaVPN (на сервере лежат лишь pubkey пиров). Для UCI-блока Cudy нужен **экспорт клиента 10.8.1.3** (там его PrivateKey + Endpoint + обфускация).
## Совместимость с OpenWrt (Cudy) — ✅ РЕШЕНО
Сервер на **AWG 1.5** (S3/S4 + H-диапазоны + I1-пакеты). На Cudy `luci-proto-amneziawg 2.0.4` + `kmod-amneziawg 6.6.104.1.0.20250924`**1.5 поддерживается** (proto знает `awg_s3/s4`, `awg_i1..i5`, H-диапазоны), конфиг встал как есть, handshake ОК. Обновлять/упрощать не понадобилось.
## Роутер Cudy TR3000 (NetBird `olivier-cudy`) — обновлено 2026-06-16
| Параметр | Значение |
|---|---|
| NetBird пир / IP | **`olivier-cudy`** (`olivier-cudy.netbird.cloud`) → **`100.70.194.241`** (имя было `OpenWrt_4`, IP был `100.70.235.2` — сменились при переэнролле 06-09) |
| WiFi (для клиентов) | SSID **`OpenWrt`** (оба диапазона), пароль **`Romane1993`**, psk2 |
| SSH | `ssh root@100.70.194.241` пароль **`1qaz!QAZ`** (подтверждён) |
| **LuCI (по NetBird)** | **`http://100.70.194.241/`** root/`1qaz!QAZ` — правило `Allow-LuCI-NetBird` (tcp 80/443 ← `100.70.0.0/16`, НЕ в WAN) |
| LAN | **`192.168.50.1/24`** (br-lan = порт `eth1` + WiFi; было `192.168.10.1`, сменилось при ресете 06-09; дефолт `192.168.1.1` коллизил с провайдером) |
| WAN | `eth0` DHCP за роутером провайдера `192.168.1.1/24` (двойной NAT), публичный `109.252.x` Москва |
| OpenWrt / extroot | 24.10.3; extroot на USB `sda1` (Kingston → `/overlay`, ~3% занято; было `sda4` до ресета 06-09) |
| amneziawg | `luci-proto-amneziawg 2.0.4` + `kmod 6.6.104.1.0.20250924`**AWG 1.5 поддерживается ✅** |
| awg0 | клиент `10.8.1.3``151.243.217.139:44221`, handshake ОК, выход **FR** |
| podkop | `v0.7.19`: `meta`/`youtube`/`telegram` + user_domains Canal+ (`canalplus.com canal-plus.com mycanal.fr canalplus.pro canal-plus.net`); `disable_quic=1` |
| IPv6 | LAN **отключён** (`ra/dhcpv6=disabled`) — против утечки мимо FakeIP |
### Лог выезда 2026-06-03 (всё через NetBird, Олег удалённо)
1. Сброс роутера → **extroot слетел из fstab**; восстановил запись (uuid sda4 → /overlay) — ребут снова безопасен.
2. **Коллизия LAN/WAN** (оба `192.168.1.x`) → не было интернета → сменил LAN на `192.168.10.1` (`ifup lan`, не ребут) → инет вернулся.
3. **LuCI по NetBird** (правило-зеркало SSH-правила, только `100.70.0.0/16`).
4. awg0 (AWG 1.5) поднялся → FR; podkop с правильными списками; Canal+-домены добавлены в user_domains → FakeIP (sing-box/dnsmasq кэш чистил).
5. **IPv6 на LAN вырублен**.
6. Бэкапы у меня: `cudy-olivier-config-backup.tar.gz` (+ netbird/config.json).
-**Осталось:** Оливье тестит myCanal (плей); устройство `Glavnaa-spalna` (8c:26:aa:c0:c1:d0) застряло на старом `192.168.1.189` — переподключить к Wi-Fi. Если Canal+ протечёт → pbr на приставку. → **✅ pbr настроен 06-16, см. ниже.**
## Сессия 2026-06-16 — диагностика «постоянных проблем» + Canal+ prep
**Жалоба:** на роутере MGTS инет ок, на Cudy — постоянные обрывы. **Причина самодельная, НЕ MGTS** (линк до gw `192.168.1.1` = 0% потерь, eth0 без ошибок). Два корня, оба устранены:
- **`/root/agent/watchdog.sh`** (cron `*/2`) рестартил sing-box **каждые 2 мин** — кривой liveness-чек `pgrep -f podkop` (podkop не демон, конфигурит sing-box и выходит). Фикс → `pgrep -f 'sing-box run'`.
- **`/usr/bin/wan-failover.sh`** (cron `* *` + rc.local) гнал **весь дом через Францию** (awg0 primary) по ложной гипотезе «MGTS флапает». **Реверс → WAN-primary**: main default via `192.168.1.1`, podkop селективно (meta/youtube/telegram + Canal+) → Франция, РФ-сайты напрямую. Egress общий `109.252.139.178` (MGTS), awg0 `151.243.217.139` (FR).
- ⚠️ Скрипты `/root/agent/*` (watchdog/heartbeat) ведёт **автономный агент** → может перезатереть фикс watchdog при своём деплое. Если вернётся цикл — чинить в источнике агента.
**Apple TV → Франция (Canal+) — настроено заранее, persistent (UCI, подтверждено netifd `proto static`):**
- Статлиз `8C:26:AA:C0:C1:D0 → 192.168.50.189` (`dhcp.atv_host`).
- pbr целиком во Францию: `ip rule 106 from 192.168.50.189 → table 100` (`192.168.50.0/24 dev br-lan` + `default dev awg0`); firewall forwarding `lan→awg0`. Реальные IP приставки → awg0; FakeIP-домены (Canal+/yt/tg) → podkop TPROXY (mark 0x100000, prio 105) → sing-box → awg0. Проверено `ip route get ... from 192.168.50.189`.
- IPv6 LAN снова off (`dhcp.lan.ra/dhcpv6=disabled` — откатывался при ресете).
- **Топология:** приставка сейчас на стороне MGTS (`eth0`-сегмент), за Cudy **вообще никто не подключён** (dhcp.leases пуст, WiFi assoclist пуст, eth1 NO-CARRIER). Дом сидит на WiFi MGTS.
- **Нужно от клиента:** подключить Apple TV к WiFi Cudy `OpenWrt`/`Romane1993` (или кабель в LAN) + **удалить профиль ExpressVPN** (kill-switch рубит инет) → тест Canal+. Если гео-блок останется — дотюнить вживую с подключённой приставкой.
**Бэкап конфигов до правок:** `/root/backup-20260616-routerfix/` (network/dhcp/firewall/wireless + agent/ + wan-failover.sh).
## ⚠️ SSH на FR-ноду с code-server (LXC 132) — нужен обходной маршрут
**Проблема:** интернет code-server завёрнут через NetBird **exit-node `finland5870.com`** (HOSTKEY, egress `202.71.12.186`), а HOSTKEY **режет исходящий TCP/22**. → `ssh root@151.243.217.139` с code-server виснет (timeout). С Mac работает (выходит напрямую). Диагностика: `ip route get 151.243.217.139``dev wt0 table netbird` = идёт через exit-node.
**Фикс (хирургический, exit-node не трогаем) — пустить только FR-ноду мимо exit-node через домашний шлюз:**
```sh
ip route add 151.243.217.139/32 via 10.0.0.1 dev eth0
```
После этого `ssh root@151.243.217.139` работает. ⚠️ Маршрут **не переживёт reboot code-server** — повторить после перезагрузки (или закрепить через netbird hook / постоянный route).
*(Проверка 2026-06-02: нода жива, `amnezia-awg2` Up, UDP 44221 слушает, egress=FR, пиры 10.8.1.1/.2/.3 с живыми handshakes.)*
## Прочее
- **SOCKS-тест гео** (временный): `ssh -D 1080 root@151.243.217.139` → проверка myCanal/france.tv реальным браузером через FR-выход. Снести после.
- NetBird диаг-ключ Claude-Diag **истёк** 2026-05-21 → перевыпустить при переэнролле роутера ([[../../.claude/projects/-Users-ai-knowledge-base/memory/reference_netbird_claude_diag|памятка]]).
Reference in New Issue View Git Blame Copy Permalink