Архив рубрики: Инструкции

Strogswan и Let’sEncrypt тип сертификата

Переносил тут ikev2 на новую машину, решил не морочиться с переносом сертификатов, а выпустить серверу новый — благо Let’sEncrypt никаких ограничений, не накладывает.

Новые сертификаты выпускаются уже не RSA, а ECDSA, так что в ipsec.secrets необходимо поменять тип закрытого ключа сервера с RSA на ECDSA

Иначе ничего не заработает 🙂

И не забывайте, apparmor без настройки не даст стронгсвану прочитать сертификаты из каталогов Let’sEncrypt

Linux и OpenVPN с 2FA (openvpn3)

OpenVPN, который мы бесплатно знаем и любим, на самом деле очень не плохо продаёт свой OpenVPN Access Server — коммерческую версию, которая, в том числе, поддерживает двухфакторную авторизацию при помощи Google Auth или Яндекс.Ключ.

Чтобы подключаться к таким серверам из Linux, пакетов из комплекта операционки недостаточно, и, придётся забыть про ползунок в Network Manager.

Итак, что же делать, чтобы подключиться.

  1. Получить профиль по инструкции или от системного администратора сервера.
  2. Установить openvpn3-cli в свой линукс
    Для этого, читать и выполнять статью в вики openvpn
  3. Подключиться и работать.

Для подключения выполнить команду

openvpn3 session-start --config %путь_к_файлу_профиля%

Ввести логин, пароль, 2FA

Для отключения, выполнить команду

openvpn3 session-manage -D -c %путь_к_файлу_профиля%

Подробнее про управление подключениями тут

Установка принтера TSC TPP-244Plus в Debian 12

Вообще, TSC, молодцы, по этому просто перешёл по ссылке, выбрал принтер из списка, скачал х64-драйвер для линукс.

Внутри архива pdf с инструкцией, по ней просто поставил принтер.

Есть нюанс: мой принтер в режиме «термотрансферный», но драйвер для линукс это игнорирует, и не подматывает копирку, по этому, я перешёл в управление cups, по ссылке https://localhost:631/ перешёл в принтеры, выбрал принтер и провалился в него.

После этого, в администрирование выбрал «установить параметры по умолчанию

И на вкладке Media Settings, жёстко установил Thermal Transfer

Также, установил размер страницы, равный размеру установленных этикеток

Сохранил параметры, создал этикетку в gLabels (да, пришлось добавить пользовательский шаблон, по ширине и высоте установленной этикетки) и проверил печать

Русский — сразу русский, шрифт печатается как надо. TSC — молодцы 🙂

Ещё раз про pfsense на Silicom Versa-110

Ко мне приехал ещё один такой сервер, но на этот раз ревизии R106 (предыдущие были R107, т.е. более поздние)

По внешнему виду, отличия есть — более ранняя выгляит дороже, смотрите сами:

Крепление БП с резьбовой муфтой, отдельная кнопка питания, быстрый доступ к сим-карте… Крч, как обычно, чем новее, тем дешевле… Не только москвич этим занимался, все занимаются 🙂

Но я не об этом. Главное отличие 106 и 107 ревизий, это то, что консоль в 106 висит на COM1, по этому для установки pfsense на него, образ надо скачивать вот так:

То есть, для R106, нужен обычный образ AMD64, для флешки, с Serial-консолью на COM1, дальше всё как обычно.

Установка pfsense на Silicom Versa-110 ревизии R107

Для начала готовим флешку с установщиков pfsense.

Для этого идём в загрузки pfesense community, скачиваем образ pfsense для архитектуры Netgate ADI

В этом образе уже настроен вывод картинки в консоль, и не надо будет извращаться с параметрами загрузки.

Далее, аналогично предыдущей статье, подключаем железку к любому компьютеру, вставляем флешку в usb-порт железки, и подаём питание

Выбираем терминал по умолчанию (vt100)

Всё, стартует установка pfsense, без каких-либо особых заморочек. Единственное — я настоятельно рекомендую выбирать ZFS в качестве файловой системы. По опыту, она сильно легче переживает перезагрузки по отказу питания

и я всегда делаю раздел swap равным объёму оперативной памяти

Всё, дальше выбираем диск для zfs, чуть ждём, перезагрузка и всё готово

Порты сетевушек распределяются почти (ibg0 — порт 1, igb1 — порт 0, дальше подряд) порядку:

У меня снова патч-корд в 6-м порту, по этому я выбираю в качестве LAN-интерфеса igb5, назначаю ему ip-адрес и всё

pfsense установлен, можно настраивать.

И первое, что надо сделать, это заставить pf запомнить, что консоль на COM2, иначе, после отключения питания, консоль будет недоступна.

так что сразу, как только попал в браузер, возвращаюсь в консоль, где:

# vi /boot/loader.conf.local
comconsole_port="0x2f8"

сохранить, выйти (:wq), и можно смело перезагружать и выключать не боясь потерять консольный доступ.