pfSense OpenVPN + Active Directory, тонкости

В целом, на сайте Netgate есть очень качественный пример настройки, который можно использовать «один в один», но сначала надо подготовить авторизацию через LDAP (из Active Directory).

В Windows для этого ничего делать не надо, кроме создания пользователя для связи, а в pfSense настроить связку с LDAP по вот этой инструкции

Чтобы не морочиться с тем, почему не работает, важно правильно ввести имя пользователя в поле «Bind credentials».

Инструкция рекомендует использовать либо короткую %username%, либо каноническую «CN=username,CN=Users,DC=domain,DC=suffix»

В реальной жизни, работает нотация username@domain.suffx (bob@example.local)

Ещё один важный момент — авторизация в LDAP в актуальном pfSense управляет доступом не на основе групп пользователей, а на основе контейнеров (CN, OU) в вашей доменной структуре, так что доступ получат все пользователи указанного в конфигурации LDAP подразделения (контейнера, CN, OU)

Про автореле

Калужский энергомаш некоторое время производит интересные микрореле:
38.3787(10)

381.3787

И совсем новые 39.3787-20

Не смотря на то, что у последних двух ноги имеют ширину 2.8, они изрядно толстые, по этому, при применении правильных клемм, коммутировать свои 15А они смогут довольно легко.

Так о чём это я. Ах да.

Если под первое (38.3787), можно найти колодку, то под реле с ногами 2.8мм, колодок в продаже нет. Единственное, что нашлось похожего, это итальянский влагозащитный блок от МТА, в который, судя по картинке встанет 381.3787 (то что побольше, вторая картинка)

Только купить этот блок, у вас скорее всего не выйдет (если будете пробовать 0101370 — артикул бокса, 0101371 — артикул крышки)

Реле, повторюсь, удобные именно своими размерами, для впихивания в не характерные для установки места, например в фару мотоцикла 🙂 Но без колодок грустно.

Особенно, с учётом того, что обычные faston-клеммы (они же ножевые) шириной 2.8, расчитаны на кабель до 1мм2 сечением — ни по механике, ни по току это на 30А не тянет ну никак…

Клеммы я подходящие нашёл, у тех же МТА, и их можно купить, «всего лишь» по 50-120р за одну, Одну, Карл! штуку. Называется она F280 WP, и выглядит просто чудесно:

Ну правда, произведение инженерного искусства, на сечение 1.5-2.5 или даже 4-6 мм2

А вот колодок нет. Нет и всё. Если кто-то знает, что они есть, и как их достать — расскажите.

У меня пока ровно одна идея, и то, только для 39.3787-20.

Я нашёл его размерный чертёж:

Расстояние между центрам ног, очень похоже на расстояние между центрами мини-предохранителя, и, как только до меня доедут эти релюхи, я попробую использовать держатели предохранителей, как замену колодке реле.

Но это же колхоз! А как без него? Ещё раз прошу — если кто знает, напишите коментарий в ВК

Strongswan + Let’sEncrypt. Что делать если не работает

С Debian 10 и примерно соответствующей ей Ubuntu strongswan закрыт аппармором, через это все инструкции типа «создайте ссылки на сертификаты в /etc/letsencrypt/live/yourdomainnamehere» перестали работать.

Решение чертовски простое, хоть и не очевидное. Надо добавить в /etc/apparmor.d/local/usr.lib.ipsec.charon две строчки:

/etc/letsencrypt/live/yourdomainnamehere/* r,
/etc/letsencrypt/archive/yourdomainnamehere/* r,

После чего перезапустить apparmor и strongswan

systemctl restart apparmor
systemctl restart ipsec

И ссылки на сертификаты Let’sEncrypt заработают.

Про удалённое управление отоплением

Изучал рынок управлялок для котлов и прочего. Да, есть прекрасный кситал, который работает, но хотелось

  • Крепления на din-рейку
  • Питания 12В (у кситал 24, хоть резервная батарея и на 12В)

Ещё на позапозапрошлом акватерме натыкался на стенд ZONT, у которых это всё есть. Пошёл читать инструкции. Смутился, перечитал Цитирую:

Настройка Термостата производится следующими способами:

● дистанционно в онлайн-сервисе ZONT, доступном из личного кабинета владельца на сайте zont-online.ru;

● дистанционно в приложении ZONT для мобильных устройств (смартфонов и планшетов) на

платформе iOS и Android.

Т.е. устройство управляющее важнейшим элементом инженерных систем загородного дома настраивается только через веб-сервис.

Понятно, что контур безопасности котла не даст выйти ему в аварийный режим, чтобы ты не делал с внешней управлялки, понятно, что нормальный инженер продублирует внешнюю управлялку ручным управлением, если за него это не сделал производитель котла (ремарка, я регулярно натыкаюсь на места, где это не сделано)

Короче, сел думать, хорошо это или плохо…

Как инженер, я считаю что это ну так себе: и с точки зрения безопасности, и с точки зрения «владения устройством»: железка без сервиса бесполезна. Если сервис накроется, что делать пользователю? Хотя, безусловно, приложение удобнее смсок
Но параноик внутри меня кричит НЕЕЕЕТ.

А с другой стороны, идея офигенная: продаёшь контроллеры, которые управляются только твоим сервисом, сервис поначалу раздаёшь бесплатно… Вот у тебя напродавалась критическая масса контроллеров, ты рраз и делаешь сервис платным.. Недорогим, но платным. И вуаля, стабильный приток денег гарантирован… И это не ирония, правда круто.

Короче, я пока остался на кситале 🙂

Недоноут Dell, как машина для поездок. Рецепт

Отжал у дочери довольно старый 11″ ноут Dell с характеристиками: intel Celeron 1.6, 8Gb RAM, SSD 250Gb, и решил сделать из него себе машину для поездок.

вот он 🙂

А почему нет:

  • Маленький и лёгкий (влезает в небольшую сумку и любой рюкзак)
  • Состоит в основном из батарейки 🙂
  • Не очень жалко если что-то случится

Ну конечно, он тормозной — целерон же. Калькулятор переросток.

Изначально была установлена Windows 7, и не смотря на то, что батарея действительно ёмкая и вполне живая (осталось 29Вт*ч из 31), в Windows её хватало на 3-4 часа. И это были очень тяжёлые и медленные часы.

Сидел, думал, как заставить это работать. Таскать в поездки 14″ с i7 не хотелось — дорогой, большой, тяжёлый. Сломаю — жалко, потеряю — жалко. Времена сейчас странные, новый как чугунный мост..

В итоге придумал: поставил связку Debian 11 с LXDE… И ноут реально ожил.

Во-первых батареи стало хватать на 6-7 часов работы. Это важно в поездке. Такой результат, явно, потому, что LXDE меньше нагружает процессор. В винде ноут пыхтел непрерывно, здесь загрузка в среднем держится не выше 30%

Во-вторых, ноут продолжает работать при открытом терминале, телеграмме, клиенте удалённых рабочих столов, 1С-Коннекте и 5-6 вкладках браузера. Да, не стоит одновременно открывать, битрикс24 и ВК, например, но Б24 + гугл + несколько страниц — нормально. В винде затыкалось уже на Б24 🙂

Уже вторую поездку я на нём, и в общем-то мне его хватает под все основные рабочие задачи: общение, Б24, ssh, RDP, подключения к клиентам по anydesk или 1с-коннект.

Безусловно, на нём бестолку пытаться запустить QGIS, или SketchUp в вайне. Даже не пробовал, честно. Но, я и в поездки не работать еду, а отдыхать, а для решения срочных рабочих задач его оказалось достаточно. Более того, в промежутке между прошлой поездкой, и нынешней, я использовал его как рабочий и даже не расчехлял основной ноут: жили в Москве, и дома работал с большого компа.

Короче, рекомендую. Если есть старое барахло, ставьте debian с LXDE, и оно ещё поработает на вашу пользу. Бонусом, научитесь жизни в линукс, сейчас это актуально, как никогда.

Тяжело быть идиотом (mpd+snapcast)

Настраивал себе мультирум из snapcast + mpd… Возился чёртовых два часа — тишина на клиентах и всё тут…

Случайно заметил при выполнении mpc -h localhost

Чего я не замечал, потому что громкость mpd никак не влияет на локальную акустическую систему воткнутую в оптический разъём 🙂

Стоило сделать в приложении вот так:

И всё волшебным образом заиграло с первоначальной настройкой, сделанной в первые 10 минут ковыряния 🙂

в /etc/snapserver.com — всё «по умолчанию» кроме

codec = pcm

В mpd.conf просто добавил (из инструкции):

audio_output {
        type            "fifo"
        name            "my pipe"
        path            "/tmp/snapfifo"
        format          "48000:16:2"
        mixer_type      "software"
}

Не смотря на то, что инструкция рекомендует отключить локальное воспроизведение — я его не отключал, ибо оптика и хороший усилитель.

Вместе с мультирумом локальную акустику гонять можно только если не слышишь локальную и сетевую одновременно. Все сетевые отстают примерно на 0.7-1.2 секунды. Между собой все сетевые играют синхронно.

Очаровательно (wineHQ)

Как же прекрасно, что в Debian 11 для установки wineHQ из репозиториев самого вайна, не надо устраивать пляски с бубном вокруг libfaudio0 из репозиториев OBS Studio

То ли дело в добавление contrib и non-free до установки wine, толи дело в том, что я пользуюсь development веткой wineHQ, но у меня просто установилось по инструкции, без всякий плясок.

Осваиваю LXDE часть 3

Ещё одна боль, которая, скорее всего, свойственна не только Debian с LXDE, а в принципе для ноутов со старыми тачпадами Synaptic.

Основная боль в том, что после перехода на Wayland вместо старого доброго x.org, для тачпадов стала использоваться libinput вместо драйвера synaptic, и внезапно перестал работать клик по самому тачпаду (не по кнопке, а именно по полю), клик двумя пальцами и т.д.

Проблема оказалась решаемой, но пришлось повозиться

Создаём файл:

$touch /etc/X11/xorg.conf.d/99-synaptics-overrides.conf

И добавляем в него следующее:

Section "InputClass"
   Identifier "touchpad overrides"
   Driver "libinput"
   MatchIsTouchpad "on"
   Option "Tapping" "on"
   Option "TappingButtonMap" "lmr"
EndSection

После перезагрузки тачпад заработал как надо

Сбрасываю телефон LinkSYS SPA901

Чтобы сбросить аппарат к заводским настройкам, надо:

  1. Снять трубку
  2. Набрать * * * 7 3 7 3 8 #
  3. Если голос в трубке запросит подтверждение, нажать 1

Телефон сбросится к заводским настройкам, поморгав лампочками

Офигенный, простой телефон, кстати. Пользуюсь уже больше месяца, слышимость огонь. Единственный недостаток — нет POE, и блок питания нужен 5В 2А, но у меня заработал на 5В 1А, и вроде норм пока (не нашёл в закромах 5В 2А)