oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f1b14be4510b7c79a4dadac365c14a880885c994
knowledge-base/projects/mmfb/proxmox-inventory.md
dttb 9a203fef4a niikn: обход блокировки nspd.gov.ru через NetBird route 
Заменил socat+DNAT+hosts (утренняя попытка 2026-04-21 не решила авторизацию,
поддомены sso/auth через FakeIP sing-box уходили в awg0→Финляндию где тоже
блок) на два централизованных изменения:

- NetBird Network Route 2.63.246.0/24 → pve-LionART для группы All:
  pushed на все 50 пиров автоматически, никаких действий на Windows-клиентах.
- OpenWrt dnsmasq override server=/nspd.gov.ru/8.8.8.8: минует sing-box
  FakeIP, клиенты LAN НИИКН получают реальные 2.63.246.71-76 и Windows
  маршрутизирует их через wt0 (NetBird) → pve-LionART → Telekom (195.26.30.163),
  WAF НСПД пропускает. Работает для главной + всех поддоменов (sso/auth/api).

Снесено:
- nspd-socat.service на pve-LionART
- DNAT "NSPD socat bypass for NIIKN" на MikroTik LionART
- bat-снипы niikn-nspd-hosts-install/uninstall
- hosts-записи + дубликат Ethernet-маршрута на WIN-BC0OTBOBBCH (192.168.1.202)

Протестировано: fallback через awg0 для non-NetBird клиентов не работает —
НСПД блочит hosting Amnezia-Финляндии тоже. Единственный known-good exit
сейчас — pve-LionART/Telekom 195.26.30.163. Non-NetBird машины НИИКН не
откроют НСПД до установки NetBird.

Добавлен отчёт для руководства НИИКН (projects/niikn/nspd-incident-report.md).
2026-04-21 11:07:20 +03:00

61 lines
4.8 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-04-17
type: project
tags: [mmfb, proxmox]
---
# ММФБ — Proxmox инвентарь
## Доступ
- **Netbird IP:** 100.70.128.49
- **LAN IP (vmbr0):** 10.253.1.253/24
- **Пользователь:** root / `1qaz!QAZ`
- **Hostname:** pve
- **Версия:** pve-manager/8.4.14, kernel 6.8.12-15-pve
## Железо
- **CPU:** Intel Xeon E5-2630 v2 @ 2.60GHz, 24 ядра
- **RAM:** 125 GiB
- **Swap:** 8 GiB
- **Диски:**
- sdc 894 GB (Intel SSD) — системный LVM (`pve-root` 96G, `pve-data` 757G thin-pool: диски VM 100/101/102)
- sdd 3.6 TB (HGST) — `/mnt/pve/Work` (диск 1С 600G, rootfs LXC 105, dump, templates)
- **sda 1.8 TB (Toshiba) + sdb 2.7 TB (Toshiba)** — объединены в LVM `archive-vg/archive``/mnt/pve/Archive` (ext4, 4.55 TB для видеоархива AgentDVR)
## Сеть
- **vmbr0:** 10.253.1.253/24, шлюз 10.253.1.1 (MAC d4:ca:6d:18:f2:be)
- **wt0 (Netbird):** 100.70.128.49/16
## Виртуальные машины (VM)
| VMID | Name | OS | Cores | RAM | Disk | IP | MAC | Статус |
|------|---------------|-------|-------|--------|-------|-----------------|-------------------|---------|
| 100 | 1C | win11 | 4 | 65 GB | 150 GB + 54 GB | 10.253.1.240 | DE:D9:70:9B:A3:19 | running (agent=1) |
| 101 | WinServer2025 | win11 | 2 | 20 GB | 100 GB | 10.253.1.6 | BC:24:11:D4:AE:68 | running |
| 102 | OVPN | l26 | 6 | 4 GB | 100 GB | — | AA:54:D6:B9:FD:01 | running |
## Контейнеры (LXC)
| CTID | Hostname | OS | Cores | RAM | IP | Назначение |
|------|-----------|--------|-------|--------|---------------|-------------------------------------------|
| 103 | NPM | ubuntu | 2 | 8.5 GB | 10.253.1.25 | Docker: nginx-proxy-manager + portainer |
| 105 | agentdvr | ubuntu | 6 | 16 GB | 10.253.1.40 | AgentDVR (видеонаблюдение), archive **4.55 TB** (LVM на sda+sdb) |
## Сервисы
- **LXC 103 (NPM):** Docker контейнеры `npm-app-1` (jc21/nginx-proxy-manager, порты 80/81/443) и `portainer-ce` (8000/9443). Работают ~15 месяцев.
- **LXC 105 (agentdvr):** systemd `AgentDVR.service`. Архив — новый LVM `archive-vg/archive` (ext4, 4.55 TB) на отдельных sda+sdb. Скорость записи ~140 GB/день → глубина архива ~32 дня максимум. Retention в cron: 14 дней (`/AgentDVR/cleanup_old_recordings.sh`, 03:00 ежедневно). 11 камер, названия `10.253.1.{21,27,32,33,35,37,38,39,41,42,43}`. Камера 10.253.1.27 "Camera 2 mic" периодически не отвечает по ONVIF (в логах `Invalid Source`) — разобраться отдельно.
## Роль в NetBird
- **pve-LionART** выступает exit-node для NetBird routes:
- `10.253.1.0/24` → LAN ММФБ (группа All)
- `0.0.0.0/0` → группа Москва (роуминг-клиенты)
- `2.63.246.0/24` → NSPD bypass для группы All (см. [[../../decisions/2026-04-21-niikn-nspd-netbird-route]])
## История изменений
- **2026-04-21 (позже):** NetBird route `2.63.246.0/24 → pve-LionART` создан для обхода блокировки nspd.gov.ru на всех пирах (НИИКН, Мексика, Казахстан). Старый `nspd-socat.service` + DNAT на LionART снесены (были не нужны — проблема корневая была в FakeIP OpenWrt).
- **2026-04-21:** поднят `nspd-socat.service` на хосте для обхода блокировки nspd.gov.ru у НИИКН. Заменил WG-туннель wg-niikn на MikroTik LionART (откачен 2026-04-20). Снят тем же днём (не решал auth-поддомены).
- **2026-04-17:** создан LVM `archive-vg` на sda+sdb (4.55 TB), ext4, `/mnt/pve/Archive`. mp1 LXC 105 переключен с loop-файла 500G на новый LVM. Удалён `/mnt/pve/Work/ct-105-archive500.img` (освободил 500G на sdd). Очищено 105G скрытых данных под mountpoint `/AgentDVR/Media/WebServerRoot/Media` в rootfs LXC 105 (rootfs был 100% → 2%). Retention поднят с 7 до 14 дней.
- **2026-04-17:** все 11 камер переведены с continuous (`recordmode=2`) на запись по движению (`detector.type=Simple`, `recordmode=0`, `recordondetect=True`). Ожидаемая экономия ~50-80%, глубина архива до ~30 дней.
- **2026-04-17:** в NPM (LXC 103, 10.253.1.25:81) создан proxy host `dvr-mmfb.dttb.ru``10.253.1.40:8090` (id=9, WebSockets=ON). Ждёт DNS A-записи.
Reference in New Issue View Git Blame Copy Permalink