Собственный VPN за 15 минут

Предположим, купили Вы облачный VPS или дедик у вас, не важно, и вот решили Вы, что хватит с вас роскомпозора и прочих ФСБ и неплохо бы через VPN сидеть, но дополнительно покупать что-то не хочется. Вариант «самому настроить OpenVPN-сервер» Вы уже испытали и у Вас нихрена не вышло. На помощь приходит отличный скрипт автоустановки OpenVPN-сервера с гитхаба от юзера Nyr под названием «warrior openvpn»: https://github.com/Nyr/openvpn-install. Покажу на примере своей CentOS.

Значит, первое, что мы делаем, это удаляем неудачно установленный OpenVPN (если устанавливали) и вычищаем остатки:

yum remove openvpn

Удаляем остатки конфигов OpenVPN:

rm -rf /etc/openvpn/

Обновяляем ОС и пакеты:

yum upgrade

yum update

Устанавливаем все подряд:

yum install -y nano curl perl python wget git iptables openvpn openssl ca-certificates

Клонируем к себе в домашнюю директорию установщик:

git clone https://github.com/Nyr/openvpn-install.git ~/nyr-openvpn

Идем в свою домашнюю директорию, куда только что склонировали установщик:

cd ~/nyr-openvpn/

Запускаем установщик и следуем инструкциям:

bash openvpn-install.sh

Автоматический установщик OpenVPN от Nyr

Оно все определяет автоматически и имеет дефолтные настройки, можно тупо жать ентер, ентер, ентер и получить конфиг клиента на выходе.

Если нужны еще юзеры, то один запуск установщика = один OpenVPN юзер на выходе (точнее, конфиг юзера). Конфиг будет лежать в папке пользователя.

Далее, в конфиге юзера (/домашняя папка/username.ovpn) удаляете строку remote-cert-tls server и удаляете последний блок с ключом tls-auth.

В конфиге сервера (/etc/openvpn/server/server.conf) удаляете строку tls-auth ta.key 0.

Ну вот и все, можно конфиг пользователя скармливать любому клиенту OpenVPN и вуаля, счастье!

Скормим виндовому клиенту, для примера. Идем в https://openvpn.net/community-downloads/ и скачиваем инсталлер для своей винды. Устанавливаем, и импортируем наш конфиг пользователя username.ovpn (который предварительно скачиваем со своего VPS / дедика из домашней директории рута или под кем вы там работаете на рабочую машину-клиента с виндой).

Всё. Fin.

FeiyuTech G6 Plus: не коннектится через приложение.


Feiyu ON

Внезапно объявилась проблема со стабилизатором FeiyuTech G6 Plus — смартфон с приложением Feiyu ON перестал соединятся с палкой. При попытке соединится по Bluetooth, приложение зависает на экране с бесконечной загрузкой и все. Техподдержка прислала .apk версии 3.0.16, и, о чудо, все заработало! Выкладываю файл FeiyuOn-fullDebug-v3.0.16.apk для людей с аналогичной проблемой.

FeiyuOn-fullDebug-v3.0.16.apk

Колонки Oklick OK-162. Обзор с разбором.

Итак, в связи с острой необходимостью хоть какого-то звука, в лютой спешке были приобретены маленькие колонки конторы Оклик модели OK-162, по цене 820 руб, с заявленной мощностью 2х4 Вт и, якобы, двухполосные. Начну свой краткий обзор с того, что, в принципе, хоть как-то они воспроизводят звуки и музыку, для игр и фильмов — подойдет. Для музыки — ну, такое себе… Решено было их раскурочить, набить остатками минеральной ваты, удлиннить провод до второй колонки, чтобы хоть из за 27″ монитора вылезали. Все это было успешно проделано. Фотки процесса ниже прилагаются. Читать далее «Колонки Oklick OK-162. Обзор с разбором.»

Настройка роутера от Ростелеком ZTE ZXHN H118N на другого провайдера.

Попался тут экземпляр наглухо залоченного роутера от Ростелеком (что удивительно, по договору ты его постепенно выкупаешь, и у тебя потом остается эта железяка) — ZTE ZXHN H118N с версией железа HW: 2.3 и ростелекомовской прошивкой V2.1.3_ROSCNT4. Т.к. попытки поиска прошивки под любого провайдера (или от производителя) не увенчались успехом, решено было попробовать настроить как есть и получилось, однако!

При попытке залезть в веб-морду и что-то там настроить вручную оно категорически не давало, показывая то «Автоматическая настройка» при подключенном кабеле, то «Подключите кабель к WAN-порту» при отключенном. Решил засунуть туда обычный кабель от второго ноута, чтобы он учуял линк, но настраиваться там как бы было не на что, и о чудо! Появилась кнопка «Настроить вручную». Эти роутеры интересны тем, что оно периодически стучит про себя в телеком и любой сотрудник может поковыряться в нем удаленно. Штука эта называется протокол CWMP и описывается в TR-069. Так вот, оказывается в нем допом идет крутейший бэкдор: в веб-интерфейсе по логину superadmin и паролю Fn@ztE118zTE оно позволяет без палева настроить все, что требуется.

Administration => TR-069 => Отключаем снятием галочки, сохраняем.

Network => WAN => WAN Connection => Connetction name => выбираем из списка существующие соединения и сносим. Выбрав пункт Create WAN Connection — создаем свои от провайдера.

Там же в настройках есть пункт Application, в котором можно и Samba-сервер включить для USB флешки, и FTP поднять и прочую всякую всячину творить. С 16 Гб флешкой работает, проверено. 3G, 4G модемы — не проверял.

Ну дальше разберетесь. Работает оно на микрухе SoC Realtek RTL8676S, инфы о которой особо раздобыть не удалось. Немного кишок ZTE H118N в заключение.

ZTE ZXHN H118N HW 2.3
Плата роутера

На плате H118N видны UART контакты RX, TX, GND, 3.3V
На плате H118N видны UART контакты RX, TX, GND, 3.3V

Корпус роутера ZTE H118N от Ростелеком
Корпус роутера ZTE H118N от Ростелеком

Корпус роутера ZTE H118N от Ростелеком
Корпус роутера ZTE H118N от Ростелеком

Блок питания роутера ZTE H118N
Блок питания роутера ZTE H118N

Плата роутера с обратной стороны ZTE H118N
Плата роутера с обратной стороны ZTE H118N

Плата роутера ZTE H118N
Плата роутера ZTE H118N. Контакты для подключения через COM-порт к терминалу.

 

Мегафон 5016: «спамер хуже пидораса»

Спам от Мегафон с номера 5016
Спам от Мегафон с номера 5016

Как-то раз приходит СМС (или ММС?), значит, с номера 5016 со следующим содержанием: «Андроид игры от Мегафон по 120 рублей… бла-бла-бла и прочее говно и Инфо:  SMS на 5016 0 р.» При открытии данного сообщения происходит неведомая доселе хуйня: всплывает окно (прямо в разделе с СМС-ками!) с предложением скачать нечто за 120 рублей! С кнопками ОК и Отмена. Случилось это дело 27 января и немного прихуев, благополучно забил на это дело. И тут внезапно, спустя 2 месяца, приходит опять СМС-ка с этого ебучего номера: «Игры по 120 рублей: КошкиМышки, хуишки и прочее гавно по 120 рублей. Инфо: SMS на 5016 0р. » Тут уже не выдержал, и сразу набрал 0500. С трудом сдерживая себя от ненормативной лексики, пытаюсь выяснить у оператора, кому принадлежит данный номер 5016: Мегафону или нет? На что получаю ответ типа «подождите сейчас посмотрю по каталогу…». Через минуту ожидания (на самом деле, понятно, что человек на том конце провода прекрасно понял сразу, о чем речь, но у него, видимо, установки от руководства такие) уклончиво отвечает он мне: «ну, как бы да, а вроде как бы и нет, ну типа сервис такой развлекательный, понимаете…» на что я ему пояснил, как действует данный механизм и что больше эту хуйню в своем телефоне я видеть не желаю.

Оператор Мегафона вяло предложил отключить некую «рекламу», но по голосу было понятно, что это не поможет и я задал напрямую вопрос: откуда же эта штука берется и как оно вызывает всплывающие окна?! Оказалось, что это некое «активное СИМ-меню«, по сути — бэкдор в моем телефоне! Механизм, который можно привести в действие отправив СМС (или таки ММС?), содержащий некую управляющую последовательность с определенного номера, в данном случае 5016!

Вопрос ему в лоб: как избавиться от этой хуеты? Ответ простой: замените СИМ-карту на СИМ-карту БЕЗ этого активного меню, в любом бутике Мегафона, и будет вам счастье. И ведь вся цепочка людей, от продавцов, операторов и до начальства, прекрасно осведомлены о том, что они творят гадости, но, тем не менее, остановиться от жадности уже не могут! В сети куча сообщений про то, как эта хуевина на неподготовленных аппаратах вообще без спроса все подключает, скачивает и само удаляется! Меняйте симки, граждане! Чем проще — тем лучше.

Устанавливаем соединение. Чтобы работать с файлами без подключения к Интернету, включите офлайн-доступ.

Такое сообщение можно получить от Google работая в браузере с Гугл.Документами онлайн. Решение данной проблемы в моем случае оказалось в изменении настроек Касперского: правым кликом на значке «Настройка» => слева меню «Дополнительно» => меню «Сеть» => в блоке настроек «Проверка защищенных соединений» выбираем пункт «Не проверять защищенные соединения». После этого надпись «Устанавливаем соединение. Чтобы работать с файлами без подключения к Интернету, включите офлайн-доступ» исчезла и работа с документами продолжилась в обычном режиме.

Настройки Касперского

Очистить очередь exim

Если у Вас после нашествия спамеров в папке var/spool/exim4/input осталась куча нагенерированных файлов писем от спамеров, надо бы их корректно очистить. Для начала запускаем в консоли:

exim -bpc

Получаем общее количество писем в очереди. После спамеров у меня там виднелось аж 86070 штук. Затем запускаем комманду очистки очереди:

exipick -zi | xargs exim -Mrm

…и ждем пока оно вычистит все из пула. Есть и другие способы очистки очереди писем exim, вплоть до простого удаления всех файлов в папке input, но этот самый корректный.

Дополнительная защита админки Joomla

В связи с нашествием ботов, ломящихся в админку Joomla по адресу /administrator/ и забивающих все логи, было решено прикрутить дополнительную авторизацию: средствами веб-сервера Apache. Для этого в директории /administrator/ создаем файл .htaccess следующего содержания:

AuthType Basic
AuthName «Administation Zone! Restricted Access»
AuthUserFile /var/www/папка_пользователя/data/etc/.htpasswd
Require valid-user

Поясню построчно: первой строкой AuthType Basic мы сообщаем серверу, что в этой папке включена авторизация. Во второй строке параметр AuthName служит для сообщения клиенту, куда он собственно, попал и данный текст будет выведен в окне авторизации. Третья строка сообщает о том, где будет храниться файл паролей .htpasswd, сгенерированный соответствующей утилитой в консоли вашего сервера (об этом отдельно, ниже). Четвертая строка Require valid-user сообщает веб серверу кого пускать в данную папку: в нашем случае любого пользователя, прошедшего авторизацию. Также там могут быть указаны конкретные пользователи через запятую.

Теперь нам необходимо сгенерировать файл пользователей/паролей для корректной работы авторизации. Для этого в консоли запускаем утиль htpasswd в следующем виде:

htpasswd -cm .htpasswd barakobama

Утиль предложит ввести New password: и повторить Re-type password: создаваемый пароль, и если вы не рукожоп и ввели все верно, то в текущей директории появится файл .htpasswd с данными авторизации для вашего пользователя. В нашем случае пользователь barakobama. Данный файл необходимо поместить в директорию, прописанную в параметре AuthUserFile нашего .htaccess. Теперь при попытке доступа в админку по URI /admininstrator/ необходимо будет пройти дополнительную авторизацию и вирусоботы и прочие кулхацкеры на вашу страницу больше не попадут.

Вообще, модуль авторизации довольно обширный, полную документацию смотрите на сайт Apache: https://httpd.apache.org/docs/2.2/howto/auth.html

 

The patch is encrypted and cannot be loaded…

Если Kontakt внезапно (или после переустановки системы) начал выдавать подобное сообщение «The patch is encrypted and cannot be loaded unless the respective Library is registered properly«, не пугайтесь, просто необходимо заново добавить библиотеки сэмплов в сам Контакт. Для этого открываем собственно сам Контакт, идем в закладку «Libraries», нажимаем кнопку «Add Library» и указываем путь к нашему плагину / билиотеке. Тоже самое пробелываем со всеми инструментами, которые нам необходимы. После этого все должно работать.

«Как минимум один файл с ресурсами pak поврежден…»

Опера стала выдавать сообщение «Как минимум один файл с ресурсами pak поврежден. Необходимо переустановить Opera.» На короткий период данный глюк лечится удалением и установкой Оперы заново, но, потом, через некоторое время, все повторяется вновь. Причиной оказалась сбойная планка ОЗУ, причем сбойность ее выражалась и в других ошибках: вылетах других программ, зависаниях, explorer.exe и т.д. Проверяйте память, скорее всего, ее придется заменить.

Поврежденная память