Инструкции, ИТшное

Музыка на Android/Harmony прерывается через несколько минут

Оставить комментарий

В моём случае, стабильно останавливалось раз в 16 минут 32 секунды 🙂

Не важно, по BT, или в наушниках, даже через локальные динамики.

Гуглил, долго, нашёл похожую проблему на Google Pixel с приложением Google Music

Предложенное решение: сбросить настройки сети на смартфоне.

Система и Обновления — Сброс — Сброс настроек сети (картинки ниже):

После выполнения сброса настроек сети, смартфон потеряет все bluetooth и WiFi соединения. Их надо будет заново настраивать.

Главное: мне помогло 🙂

Могу рекомендовать, как способ.

ИТшное

PostgreSQL 1C для Windows при запуске останавливается

С ошибкой вида «Служба была запущена и автоматически остановлена»
Отмазка/Disclaimer: всё что вы делаете, вы делаете на свой страх и риск. Нникакойтветственности за результат я не несу.

Причина, в 99% случаев: некорректное завершение работы.
Не экономьте на ИБП, и мониторинге. Следите за состоянием батареи ИБП.
Реже — причина сбой диска. Развитая инфраструктура без мониторинга — бомба замедленного действия. Следите за состоянием серверов.
В любом случае, PostgreSQL очень надёжен, и постарается сделать всё, чтобы баз не сломались и данные не потерялись, но может быть всякое. По этому, в большинстве случаев, служба не остановилась, просто запускается слишком долго, и Windows, не получив ответа, считает, что что-то пошло не так.

Это надо проверить.

  1. Запустите диспетчер задач, и убедитесь, что процессы postgresql.exe запущены
  2. Если видите процессы, PostgreSQL либо в процессе старта, либо уже работает. Проверяйте логи (логи лежат в рабочем каталоге кластера, в папке log). Где рабочий каталог кластера, можно посмотреть в свойствах службы, параметр в конце строки запуска.
  3. Отсортируйте файлы логов по дате, и откройте последний. 99% вы увидите там
  4. Дождитесь пока PostgreSQL не перестанет сыпать строками вида:
    FATAL: the database system is starting up
    DETAIL: Consistent recovery state has not been yet reached
    FATAL: the database system is not yet accepting connections
    Скорее всего, лог перестанет часто обновляться, после того, как закончится autovacuum, после проверки целостности. Как-то так

Это значит — сервер запустился, и можно войти в базу 1С

Теперь осталось только перезапустить PostgreSQL так, чтобы работал pg_ctl и Windows считала, что служба работает.

Обратите внимание: если сервер не придёт в рабочее состояние, и история в логе не изменится, дальше ничего делать нельзя. Всё плохо, идите восстанавливаться из бэкапа.

Если заработало, можно перезапустить PostgreSQL:

  • Запустите командную строку «от имени администратора»
  • В командной строке перейдите в каталог PostgreSQL ((как правило C:\Program Files\PostgreSQL\%номер_версии%\bin)
  • Выполните команду: pg_ctl stop -D %путь_к_рабочему_каталогу_кластера% -m fast -W
    //Обратите внимание, в пути к рабочему каталогу кластера все обратные слэши меняются на прямые. т.е., вместо F:\PGDATA пишем F:/PGDATA
  • Дождитесь, пока команда отработает, выдохните ещё полминуты
  • Перейдите в оснастку «Службы» и запустите PostgreSQL. Если с данными всё хорошо, служба нормально запустится, и всё заработает.

про жизнь

Самозапрет на кредиты

Я прям уверен, что все должны это сделать! По этому погнали:

ВАЖНО 1. Для установки запрета вам понадобится ЭЦП физического лица. Причём принимается любой вариант:
— ПЭП — это если у вас полная запись на ГУ и подключен телефон. Тупо подпишите СМСкой
— УНЭП — это подпись действующая только в рамках госуслуг, с её помощью можно сделать следующее:
   — продать или купить тачку на ГУ
   — получить ИНН
   — отправить 3НДФЛ
   — подключить налоговые уведомления
   — установить самозапрет на кредиты
—  УКЭП — это прям полноценная подпись, которую можно использовать где угодно или как угодно.
Если у вас нет — УКЭП или УНЭП можно получить через приложение ГОCКЛЮЧ, или за деньги в любом УЦ
Если вам не нужна ЭП в жизни — выбирайте ПЭП, спокойнее будет.

ВАЖНО2  На текущие кредиты это никак не повлияет, повлияет только на возможность взять новый потреб.кредит или перехватить бабки в МФО (кто в здравом уме и твёрдой памяти будет общаться с МФО, даже предположить не могу)


Крч, заходите на госуслуги, и дальше прям сразу видите

Тынц на ссылку

Дальше робот Макс предложит варианты…

Резко кликаем на «Установление запрета»

Предлагают получить УКЭП или УНЭП. Если надо делайте, если нет, и учётная запись на ГУ позволит — подпишите СМСкой.. У меня есть УКЭП, так что я погнал дальше запрещать

Сначала проверяем данные о себе: паспорт, ИНН. Следом выбираем вид запрета:

Полный — это полный, а частичный запрещает только дистанционное получение. Крч, выбирайте полный, от греха

Всё, дальше выбираем тип подписи (ПЭП, УНЭП, ЭКЭП в двух вариантах), подписываем заявление и ждём два дня….
И спим сильно спокойнее чем сраньше 🙂

Инструкции, ИТшное

Strogswan и Let’sEncrypt тип сертификата

Переносил тут ikev2 на новую машину, решил не морочиться с переносом сертификатов, а выпустить серверу новый — благо Let’sEncrypt никаких ограничений, не накладывает.

Новые сертификаты выпускаются уже не RSA, а ECDSA, так что в ipsec.secrets необходимо поменять тип закрытого ключа сервера с RSA на ECDSA

Иначе ничего не заработает 🙂

И не забывайте, apparmor без настройки не даст стронгсвану прочитать сертификаты из каталогов Let’sEncrypt

ИТшное

Шпаргала, всякие настройки сервера с Debian 12

Просто не связанные между собой действия, чтобы не забывалось.

Поставить ufw и fail2ban

#apt install ufw fail2ban
#systemctl enable --now ufw
#ufw enable
#ufw allow ssh
#echo "backend = systemd" >> /etc/fail2ban/jail.d/defaults-debian.conf 
#systemctl enable --now fail2ban

Для впн-сервера разрешить routed-трафик в UFW по умолчанию (потом запретить обратно, и разрешить только нужное)

#vi /etc/default/ufw
edit
DEFAULT_FORWARD_POLICY="ACCEPT"

Перманентные статические маршруты

Настраиваются в /etc/network/interfaces

# Local network
allow-hotplug eth1
iface eth1 inet static
	address 192.168.0.100/24
	up /sbin/ip route add 192.168.1.0/24 via 192.168.0.1 dev eth1
	up /sbin/ip route add 192.168.2.0/24 via 192.168.0.1 dev eth1
	down /sbin/ip route delete 192.168.1.0/24 via 192.168.0.1 dev eth1
	down /sbin/ip route delete 192.168.2.0/24 via 192.168.0.1 dev eth1
ИТшное

Openconnect-vpn с AD-авторизацией в Debian 12

Отмазка: данная статья не предназначена для настройки впн с целью обхода санкций, только для подключения к офисной рабочей сети.

Исторически, мы использовали для подключения удалёнщиков OpenVPN — просто, удобно, надёжно, хотя и медленно. Когда начались всякие сложности. добавили ikev2 как резерв, и WG, в качестве site-to-site, между офисами.

Последнее время OpenVPN чаще не работает, чем работает, ikev2 — в принципе не работает через мобильные сети, да и стабильность соединение так себе. Как его не готовь, всё равно, обрывы соединения будут.
WG как способ подключения пользователей вообще не катит — никакой авторизации кроме ключей, маршрутизации нет как класс (а у нас сложная сетка в офисе) и т.д. и т.п. Ну и пользователя в одном месте не удалишь — всё остальное с доменной авторизацией работает.

В итоге, принял решение развернуть Openconnect — свободную реализацию Cisco SSL VPN.

Почему?

  • Есть клиенты подовсё 🙂 Если нет опенсёрсного клиента, есть cisco anyconnect
  • Это ssl-vpn, т.е., по сути — https, хрена заблокируешь.
  • Вполне приемлемая производительность. Нам так-то сильно много не надо, но пусть будет.
  • Авторизация в домене. Т.е. я заблокировал пользователя в одном месте, всё, он никуда не ходит.

Погнали ставить.

Отмазка два: в рамках данной статьи, только базовый функционал, тонкости и нюансы дальше

Дано: сервер, две сетевые карты: eth0 — внешняя, eth1 — локальная. Сервер не является основным шлюзом для локальной сети.
На сервере уже установлены и чуть-чуть настроены:
— ssh
— ufw (мы запретили всё лишнее, разрешили https и routed-трафик)
— fail2ban (чтобы к нам в ssh не ломились сомнительные личности)
— в /etc/network/interfaces добавлены статические маршруты к подсетям ЦО и филиалов, или настроена любимая динамическая маршрутизация.
— уже установлен мой любимый vim
— в качестве серверов dns используются серверы, обслуживающие локальный домен

Будем делать openconnect с сертификатом Let’Encrypt, доменной авторизацией

Ставим пакеты

# apt install -y ocserv realmd sssd oddjob oddjob-mkhomedir adcli samba-common krb5-user sssd-tools libnss-sss libpam-sss certbot

Обретаем сертификат

Добавляем в публичный DNS запись вида vpn.mydomain.ru A %IP-адрес-сервера-VPN%

#ufw allow http #для работы сертбота
#certbot certonly --standalone --preferred-challenges http --agree-tos --email mail@mydomain.ru -d vpn.mydomain.ru
#ufw deny http #после получения сертификата, зачем нам открытый 80-ый порт?

Если сертификат успешно получен (99% случаев), добавляем в /etc/letsencrypt/renewal/vpn.mydomain.ru.conf хуки (чтобы сертификат без проблем обновлялся): 

pre_hook = ufw allow http
post_hook = ufw deny http

Цепляемся к локальному домену

#realm join mylocaldomain.local -U mydomainadmin --install=/

После успешного подключения, сначала ограничим доступ:

#systemctl enable sssd
#systemctl start sssd
#realm deny --all # По умолчанию никто не может логиниться
#realm permit -g myvpnaccessgroup@mydomain.local

Потом поправим /ect/sssd/sssd.conf (

[sssd]
domains = mydomain.local
config_file_version = 2
services = nss, pam
default_domain_suffix = mydomain.local

[domain/KVOLITEK.local]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = mydomain.local
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = mydomain.local
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_groups = myvpnaccessgroup@mydomain.local

И перезагрузим конфигурацию sssd #systemctl restart sssd

Теперь дело за малым, сам openconnect

Он уже установлен. Настраиваем минимум конфигурации (можно больше, но для старта хватит). Файл конфигурации отлично документирован, поможет в дальнейшем. Ниже, только изменённые строки, остальное на старте просто оставляем по умолчанию:

auth = "pam" # авторизация в домене через PAM
listen-host = %realipon_eth0%
server-cert = /etc/letsencrypt/live/vpn.mydomain.ru/fullchain.pem
server-key = /etc/letsencrypt/live/vpn.mydomain.ru/privkey.pem
max-clients = 25 # по числу сотрудников компании + 5 на случай подвисших :)
max-same-clients = 1 # иначе будет хаос и анархия
default-domain = vpn.mydomain.ru
ipv4-network = xxx.xxx.xxx.xxx/xx # диапазон, который вы решили выдать впн-клиентам
tunnel-all-dns = true # чтобы всем прилетал корпоративный ДНС
dns = xxx.xxx.xxx.xxx # адрес локального днс-1
dns = xxx.xxx.xxx.xxx # адрес локального днс-2
nbns = xxx.xxx.xxx.xxx # адрес локального wins (если надо зачем-то)
route = xxx.xxx.xxx.xxx/xx # подсети в офисе/цоде/филиалах. По одной на строку. Все, куда будут ходить впн-клиенты

Перезапускаем службу

#systemctl restart ocserv

Маршрутизация в локальной сети

Обязательно настраиваем в динамической маршрутизации или статический маршрут на каждом своём сервере в подсеть VPN (Если VPN-сервер у вас не основной шлюз)

Всё, можно пускать пользователей.

Клиентское ПО

Linux — openconnect, network-manager-openconnect, network-manager-openconnect-gnome

Windows Openconnect-gui с гитлаба

Android/IOS — Cisco AnyConnect из соответствующего магазина приложений.

Настраиваются все одинаково, понадобится только:

  • Ссылка на сервер, вида https://vpn.mydomain.ru
  • Логин
  • Пароль
ИТшное

wireguard и debian 10 в 2024 году

Актуальный Wireguard в Debian 10 сейчас ставиться из backports-репозитория, но все инструкции забывают, что, кроме wirguard, надо из backports поставить и актуальное ядро, потому что модуль wirguard собран именно для него.

По этому, актуальная инструкция выглядит так:

  • Добавить backports-репозитории, например вот так 
# sh -c "echo 'deb http://archive.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list"
  • Установить актуальное ядро, актуальные заголовки ядра. В моём случае вот так (в вашем — может отличаться, используйте <# apt search linux-image-5> чтобы удостовериться)
# apt install linux-image-5.10-amd64 linux-headers-5.10-amd64
  • И уже только после этого ставить wireguard и настраивать его.
# apt install wireguard

PS Установщик Wireguard внутри панели ISPManager также об этом не знает, по этому он успешно всё поставит, не сообщив ни о какой ошибке, и даже соединение будет устанавливаться, но трафик ходить не будет, пока вы не обновите ядро. Он также тащит wireguard из backports, как и установка вручную.

Инструкции, ИТшное

Linux и OpenVPN с 2FA (openvpn3)

OpenVPN, который мы бесплатно знаем и любим, на самом деле очень не плохо продаёт свой OpenVPN Access Server — коммерческую версию, которая, в том числе, поддерживает двухфакторную авторизацию при помощи Google Auth или Яндекс.Ключ.

Чтобы подключаться к таким серверам из Linux, пакетов из комплекта операционки недостаточно, и, придётся забыть про ползунок в Network Manager.

Итак, что же делать, чтобы подключиться.

  1. Получить профиль по инструкции или от системного администратора сервера.
  2. Установить openvpn3-cli в свой линукс
    Для этого, читать и выполнять статью в вики openvpn
  3. Подключиться и работать.

Для подключения выполнить команду

openvpn3 session-start --config %путь_к_файлу_профиля%

Ввести логин, пароль, 2FA

Для отключения, выполнить команду

openvpn3 session-manage -D -c %путь_к_файлу_профиля%

Подробнее про управление подключениями тут

Инструкции, ИТшное

Установка принтера TSC TPP-244Plus в Debian 12

Вообще, TSC, молодцы, по этому просто перешёл по ссылке, выбрал принтер из списка, скачал х64-драйвер для линукс.

Внутри архива pdf с инструкцией, по ней просто поставил принтер.

Есть нюанс: мой принтер в режиме «термотрансферный», но драйвер для линукс это игнорирует, и не подматывает копирку, по этому, я перешёл в управление cups, по ссылке https://localhost:631/ перешёл в принтеры, выбрал принтер и провалился в него.

После этого, в администрирование выбрал «установить параметры по умолчанию

И на вкладке Media Settings, жёстко установил Thermal Transfer

Также, установил размер страницы, равный размеру установленных этикеток

Сохранил параметры, создал этикетку в gLabels (да, пришлось добавить пользовательский шаблон, по ширине и высоте установленной этикетки) и проверил печать

Русский — сразу русский, шрифт печатается как надо. TSC — молодцы 🙂

Инструкции, ИТшное

Ещё раз про pfsense на Silicom Versa-110

Ко мне приехал ещё один такой сервер, но на этот раз ревизии R106 (предыдущие были R107, т.е. более поздние)

По внешнему виду, отличия есть — более ранняя выгляит дороже, смотрите сами:

Крепление БП с резьбовой муфтой, отдельная кнопка питания, быстрый доступ к сим-карте… Крч, как обычно, чем новее, тем дешевле… Не только москвич этим занимался, все занимаются 🙂

Но я не об этом. Главное отличие 106 и 107 ревизий, это то, что консоль в 106 висит на COM1, по этому для установки pfsense на него, образ надо скачивать вот так:

То есть, для R106, нужен обычный образ AMD64, для флешки, с Serial-консолью на COM1, дальше всё как обычно.