Рубрики
Блог Настройка

Настройка IKEv2 с EAP-MSCHAPv2 на RouterOS

Не буду описывать причины для настройки IKEv2, просто достаточно знания, что протокол хорош и поддержан сегодня во всех основных операционных системах. Ну и RouterOS тоже поддерживает. В справке MikroTik опубликована подробная инструкция по настройке, но результат рабочий не для всех клиентов. На устройствах Apple все работало, а на Windows и Android никак не хотело устанавливаться соединение. Windows-клиент писал «Неприемлемые учётные данные проверки подлинности IKE». Собственно об этом я и хочу рассказать.

Инструкция от MikroTik хорошая, но после ее выполнения есть проблема в цепочке сертификатов. Некоторые решают ее добавлением R3 в список доверенных системы, но это плохой способ. Нам нужно добиться того, чтобы сервер отправлял клиенту всю цепочку сертификации. Если в случае SSTP достаточно просто добавить промежуточный сертификат в систему и он сам подхватится:

/tool/fetch https://letsencrypt.org/certs/lets-encrypt-r3.pem
/certificate/import file-name=lets-encrypt-r3.pem name=lets-encrypt-r3

То чтобы исправить IKEv2 нужно явно указать его:

/ip/ipsec/identity/set [find peer=ike2] certificate=letsencrypt-autogen_2023-05-20T17:06:31Z,lets-encrypt-r3

То есть в поле certificate нужно указать два сертификата через запятую. После этих изменений работает на всех ОС.

Рубрики
Настройка

Обход блокировок Роскомнадзора средствами BGP

Блокировки не сильно меня беспокоили, я использовал для этого плагин для браузера под названием friGate. Но способ этот не без изъянов. Первый его минус в том, что этот плагин не поставить в Safari, а у меня сейчас это основной браузер как на десктопе, так и на телефоне. Приходилось для захода на некоторые сайты запускать Chrome. Второй минус в том, что список сайтов не так часто обновляется. Также этот плагин не поможет если сайт случайно заблокирован просто потому, что в Роскомнадзоре работают бездари и порой блокируют целую подсеть в борьбе с Telegram.

Случайно узнал, что добрые люди сделали сервис antifilter.download, который может по BGP отдавать маршруты до заблокированных сайтов. Так как дома я использую роутер MikroTik, то этот способ мне замечательно подходит. Попробую описать свой опыт.

Рубрики
Настройка

Запуск скрипта в MikroTik по будням

Возникла необходимость запускать скрипт в маршрутизаторе MikroTik только по будням. Мало того, что нет простого способа узнать сегодняшний день недели, так еще есть праздники. Поэтому решил прописать все выходные дни в явном виде. Скрипт запуска получился таким:

# получаем сегодняшнюю дату
:local date [/system clock get date]
# читаем файл holidays.txt и приводим его к массиву
:local hdays [:toarray [/file get [/file find name=holidays.txt] contents]]
# проверяем, есть ли сегодняшняя дата в массиве
:local isWork ([:typeof [:find $hdays $date -1]] = "nil")
:if ($isWork) do={
    # здесь запускаемый код
}

Файл holidays.txt содержит в себе список дат выходных дней, разделенных запятыми. Дата должна быть в формате МММ/ДД/ГГГГ в нижнем регистре. Файл не может превышать 4096 байт.
Файл сгенерировал из производственного календаря с Портала открытых данных. На портале он в виде файла CSV.

Мой файл holidays_ru.txt (Одна Загрузка ) .
Скрипт для генерации gen_holidays.py (9975 Загрузок ) .

UPD(28.05.2022): обновил скрипт.

Рубрики
Настройка

Получение сертификата Let’s Encrypt на nginx в режиме прокси

С некоторого времени использую сертификаты Let’s Encrypt для HTTPS. Когда HTTPS соединения от клиентов обрабатывает сам веб-сервер, где расположены файлы, как получить сертификат не вызывает вопросов. Но если соединения обрабатывает прокси-сервер nginx, то нужно указать папку, которая будет обрабатываться локально. Вот пример конфига, когда HTTP соединения не используются и перенаправляются на HTTPS версию:

server {
  listen 80;
  server_name example.com;
  location /.well-known/ {
    root /var/www/example.com;
  }
  location / {
    return 301 https://$host$request_uri;
  }
}

Если HTTP версия используется, то вместо return 301 нужно оставить proxy_pass.

Рубрики
Настройка

Время FTP в OpenMediaVault

В OpenMediaVault при листинге файлов по FTP можно столкнуться с проблемой, что время у файлов отображается в UTC. У ProFTPD есть отдельный how to на эту тему. На отображение даты может влиять опция TimesGMT, но она у OpenMediaVault выставлена в off. Значит ProFTPD не может получить системную временную зону, поэтому нужно в дополнительных опциях указать SetEnv TZ {зона}. Как-то так:

Скриншот настройки FTP
Скриншот настройки FTP

После применения настроек время у файлов будет отображаться в нужной зоне.

Рубрики
Настройка

Auto Provision на телефоне DHP-150S

Auto Provision нужен для автоматической настройки телефона по сети.
Сам Auto Provision нормально объяснен в официальной статье на сайте D-Link: http://dlink.ru/ru/faq/95/1227.html.
Еще полезен этот документ: http://www.fanvil.com/images/user/2014050802.pdf.
Все красиво, особенно возможность рассылать телефонную книгу. Вот только не работает это по инструкции.
Чтобы данная функция заработала нужно в раздел <AUTOUPDATE CONFIG MODULE> добавить строчку:
Auto Pbook  Url    :tftp://192.168.0.1/contact.xml
При чем важен каждый пробел, между Pbook и Url должно быть ровно два (!) пробела и четыре после Url. Ни в одной инструкции этого не сказано. После добавления недостающего пробела все заработало.

Рубрики
Настройка

FTP Proxy

Случается так, что за одним внешним IP адресом необходимо разместить несколько Web-серверов. Эта задача без проблем решается средствами nginx. Наш фронтэнд получает HTTP запрос, в котором есть поле Host. В нем содержится домен типа www.example.com. На основании этого поля выбирается uplink для проксирования на бэкэнд, который часто просто виртуальная машина с каким-то веб-приложением.
Часть приложений ты обслуживаешь самостоятельно, другую часть кто-то еще. И часто кто-то еще предпочитает использовать FTP для доступа к файлам сайта. Но что делать если за одним IP нужно разместить несколько FTP-серверов?