Особенности доставки трафика на mirkwood: SSL для dep816.ru, обход блокировок ТСПУ для входящих webhook'ов от Telegram, маршруты для исходящих к Telegram API.
dep816.ru| Параметр | Значение |
|---|---|
| Тип ключа | RSA (не ECDSA) |
| Issuer | Let's Encrypt R12 (RSA intermediate) |
| Домены | dep816.ru + www.dep816.ru |
| Путь | /etc/letsencrypt/live/dep816.ru/fullchain.pem |
| Авторенью | certbot timer |
Почему RSA, а не ECDSA? Issuer E7 (ECDSA) не поддерживается частью клиентов (старые Android, корпоративные TLS-сканеры). Уже наступили один раз — отказы у пользователей.
Перевыпуск:
certbot certonly --force-renewal --key-type rsa --cert-name dep816.ru \
-d dep816.ru -d www.dep816.ru --nginx
ТСПУ блокирует входящие TCP от Telegram-серверов (149.154.160.0/20, 91.108.0.0/16) к российским IP. Webhook'и обоих ботов проксируются через exit-сервер nugush (134.209.197.76, DigitalOcean EU).
| Бот | Webhook URL | Слушает на mirkwood | config webhook_path |
|---|---|---|---|
@dep816WhiteBoxBot (WhiteBox) |
nugush.4gain.pro/wb-webhook |
:8444/wb-webhook |
/wb-webhook |
@forGainElinkBot (AWG-stats) |
nugush.4gain.pro/awg-webhook |
:8443/awg-webhook |
/awg-webhook |
Важно: nugush proxy_pass БЕЗ подмены path —
proxy_pass https://10.10.1.1;без trailing path. Путь передаётся как есть → mirkwood nginx → бот.
/etc/nginx/conf.d/tg-webhooks.conf/etc/nginx/sites-enabled/wb-tgbot (location /wb-webhook)/etc/nginx/sites-enabled/awg (location /awg-webhook)SSL на nugush: Let's Encrypt для nugush.4gain.pro.
AmneziaWGServer/ansible/roles/cloud/templates/etc/nginx/conf.d/tg-webhooks.conf.j2host_vars/nugush.4gain.pro.yml → tg_webhook_proxiesЧтобы боты на mirkwood могли вызывать api.telegram.org, в awg0.conf (туннель до nugush) добавлены маршруты:
PostUp:
ip route add 149.154.160.0/20 dev awg0
ip route add 91.108.0.0/16 dev awg0
Файл: /etc/amnezia/amneziawg/awg0.conf на mirkwood.
Без этих маршрутов прямой путь к Telegram API через WAN заблокирован → timeout.
qos.conf и route.conf авто-восстанавливают HTB и default-route в table 20X. См. qos, routing-recovery.Changelog