Ubuntu

P.S. Сорри, без шакалов не нашел.

Источник: localhost

Telegram-канал IT-юмор

Привет, дорогой Пикабу!

Здесь произойдёт краткий(насколько это возможно) раccказ о том как я строил настоящий впн за недорого.

Как выглядит ТЗ:

– возможность создавать несколько учётных записей пользователей

– высокая скорость доступа (в рамках бюджета)

– безопасность данных (как настроишь, так и полетит)

– бюджет реализации 4$ :-)

Что мне для этого понадобится?

Совсем не много:

1. Хостинг провайдер с VPS, в моём случае это OVHcloud

(уважаемые читатели могут выбрать любой хостинг!)

2. Необходим облачный MicrotikCHR (Кликабельно)

3. VPS-сервер c предварительно установленной Ubuntu 20.10

4. Множко времени для настройки и тестирования

Процесс заказа VPS я пропущу, много бесполезной информации и куча лишних скриншотов!

Один важный момент связан с выбором локации хостинга VPS, чем дальше от меня сервер, тем выше латенси/ping, важно для онлайн игр, но в моём случае особой роли не играет.

После покупки VPS-ки мне на почту упало письмо с доступами в машине.

Залетаем в ssh, меняем сгенерированный хостингом пароль, добавляем свой публичный ключ для root, меняем hostname, обновляем, устанавливаем unzip перезагружаем.

На этом базовая подготовка VPS закончена, дальше интересней.

1 - Необходимо создать временный раздел для хранения образа MicrotikCHR

mount -t tmpfs tmpfs /tmp/

2 - через wget скачать образ MicrotikCHR raw по ссылке, что приведена выше

wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img...

3 - распаковать скачанный архив

unzip chr-6*

4 - просмотреть разделы на диске, это необходимо, для того чтобы знать на какой из их,  записать образ RoS CHR

fdisk -l

· в моём случае это - /dev/sda: 20GiB (Основной раздел диска)

· если ошибиться с выбором раздела, прийдётся вернуться к установке ОС и повторной первичной настройке

5 - Записать образ с помощью dd на нужный раздел

dd if=chr-6.47.9.img of=/dev/sda bs=4M oflag=sync

· if= то что ми пишем
· of= то куда пишем
· bs= размер блока записи
· oflag= опция дополнительных параметров, sysnc - дополняет сектора значениями NUL

6 - Перезагрузится, обычный reboot не сработает, потому:

echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

Дальше перехожу в веб-интерфейс хостинга и задаю пароль для пользователя admin через KVM (по умолчанию логин Mikrotik, admin без пароля)

/user set [find name=admin] password=SupeR_stronG_paSs-228

Параллельно добрые люди с ботами хотят взломать мой облачный роутер :-)

Дабы избежать неловких ситуаций, следует ограничить доступ к сервисам ssh, winbox , остальные отключить.

IP - Services

Теперь предстоит самое интересное, а именно настроить l2tp/IPSec

1. Ip - pool

– name : l2tp=pool

– addresses : 192.168.20.2-192.168.20.200

– next pool : none

2. PPP - Profiles / Создать профиль для l2tp туннеля

– name : l2tp-profile

– local address : l2tp-pool

– remote address : l2tp-pool

– DNS servers : 1.1.1.1 (можно использовавать любые)

3. PPP - Secrets / Создать профиль пользователя

– name : vpn-user001 (уникальность имён приветствуется)

– password : пароль умеренной сложности

– service : l2tp

– profiles : ранее созданный l2tp-profile

4. PPP - Interface - L2TP Server

– Enable

– default profile : ранее созданный l2tp-profile

– authentification : оставить только (mschap2)

– use ipsec : required

– ipsec secret : не самый простой Shared Secret

5. IP - IPSec - Proposals

– name : default

– auth algorithms : sha1

– encr. algorithms : aes-128 cbc / aes-192 cbc / aes- 256 cbc

– pfs group : modp 1024

· этот конфиг создается по умолчанию, но всё же стоит проверить ;-)

6. IP - FireWall - NAT

· без nat, подключение произойдёт, но сети не будет

– nat rule : srcnat

– out. interface list : all

– переходим на вкладку Action

– action : masquerade

7. Простая настройка firewall

· буду приводить только консольные команды без скриншотов (ну ладно будет один финальный в конце ;-) )

· В терминале через winbox или ssh

/ip firewall filter

· добавить правила fasttrack connections

add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment="FastTrack Connection" \
connection-state=established,related

· Правила для established, related + открыть порты для l2tp (500,1701,4500)

add action=accept chain=in connection-state=established,related
add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \
in-interface=ether1 protocol=udp

· разрешить ping (icmp)

add action=accept chain=in in-interface=etgher1 protocol=icmp

· остальное drop

add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=in

8. получить лицензию на CHR

- Зарегистрироваться на оф.сайте Mikrotik

- Зарегистрировать CHR (после триального периода роутер не превращается в тыкву, если его не обновлять, продолжит работать на полной скорости даже после истечения лицензии)

system - license - renew license

- account : логин в учётную запись на Mikrotik.com

- passwrod : пароль от учётной записи на Mikrotik.com

А в личном кабинете видно временную лицензию

И на финал, тест скорости ;-)

Из минусов, не гигабит)

Крайне приветствую комментарии и предложения по теме!)

Привет Пикабу!

Это подготовительная часть к следующему посту, в котором мы сделаем HTTPS доступ к Home Assistant Supervised или Home Assistant Core, который так же пригодится нам в дальнейшем для управления колонками с Алисой из Home Assistant... и/или позволит добавить ваши умные устройства из Home Assistant в умный дом Яндекса и управлять ими с любого устройства с Алисой, в том числе с колонок.

Вместо предисловия или disclaimer )))
Продолжаю наполнять свой аккаунт на Пикабу полезной информацией по тематике Умный дом. Обращаю Ваше внимание, что это будут не всегда полноценные и пошаговые инструкции и туториалы, а скорее выдержки типа "шпаргалок", на случай посмотреть, если что-то забыл. Ну как бы я буду писать здесь "шпаргалки" и "запоминалки" для себя и на будущее, а Вы можете ими пользоваться или нет, как в старые добрые институтские времена.... ))) Поэтому любой мой пост не претендует на правильность высказанного в нём моего мнения и истину моих умозаключений в конечной инстанции, я просто делюсь своим скромным опытом. Всё что Вы будете делать и повторять по моим постам, Вы делаете на свой страх и риск ;-)

Всё будем делать в командной строке.

Для этого, например, подключаемся через PuTTy по SSH к своей реальной или виртуальной машине.

Подготовим систему.

1) Для получения списка новых пактов, выполните:

# sudo apt-get update

2) Для выполнения обновления пакетов, выполните:

# sudo apt-get upgrade -y

3) Удаляем возможно оставшиеся зависимости пакетов:

# sudo apt autoremove -y

4) Устанавливаем необходимые нам пакеты и зависимости:

# sudo apt-get install -y python3-pip python-dev libffi-dev libssl-dev gcc libc-dev make curl openssl-dev  rust cargo make

Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации (Контейнеры - это стандартизированная единица программного обеспечения, которая позволяет разработчикам изолировать свое приложение от его среды)

В Ubuntu 20.04 Docker (docker-ce) можно установить простым скриптом, введя в терминал всего одну команду, как мы это уже делали в этом посте:

# curl -fsSL get.docker.com | sudo sh

В Ubuntu/ Debian / Kali Linux в официальных репозиториях есть версия Docker - docker.io

Для её установки нужно будет ввести следующие команды:

# sudo apt install -y docker.io

# sudo systemctl enable docker --now

Если вы хотите добавить себя в группу Docker, чтобы использовать Docker без sudo:

# sudo usermod -aG docker $USER

Не имеет особого значения, какую версию Docker (docker-ce или docker.io) вы установите. Подробнее об этом у меня есть в середине этого поста.

Определить, какой установленный у вас пакет Docker:

# dpkg -l | grep -i docker

Команды для полного удаления Docker.

# sudo apt-get purge -y docker-engine docker docker.io docker-ce

# sudo apt-get autoremove -y --purge docker-engine docker docker.io docker-ce

Приведенные выше команды не будут удалять образы, контейнеры, тома или созданные пользователем файлы конфигурации на вашем хосте. Если вы хотите удалить все изображения, контейнеры и тома, выполните следующие команды:

# sudo rm -rf /var/lib/docker /etc/docker

# sudo rm /etc/apparmor.d/docker

# sudo groupdel docker

# sudo rm -rf /var/run/docker.sock

Вы полностью удалили Docker из системы.

Docker Compose - инструмент для создания и запуска многоконтейнерных Docker приложений. В Compose, вы используете специальный файл для конфигурирования ваших сервисов приложения. Затем, используется простая команда, для создания и запуска всех сервисов из конфигурационного файла.

Установим (скачаем) docker-compose и сделаем его исполняемым:

Чтобы установить другую версию Compose, замените 1.28.2 версией Compose, которую вы хотите использовать.

#  sudo curl -L "https://github.com/docker/compose/releases/download/1.28.2/d... -s)-$(uname -m)" -o /usr/local/bin/docker-compose

# sudo chmod +x /usr/local/bin/docker-compose

И проверим версию:

# docker-compose --version

Чтобы удалить Docker Compose (если вы установили с помощью curl):

# sudo rm /usr/local/bin/docker-compose

Portainer - это универсальный инструмент управления контейнерами Docker и позволяет  разворачивать контейнеры и управлять ими без написания кода.

Развертывание сервера Portainer(Portainer CE):

# sudo docker volume create portainer_data

#  sudo docker run -d -p 8000:8000 -p 9000:9000 --name=portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v portainer_data:/data portainer/portainer-ce

Эта команда настраивает автоматический запуск Portainer после перезагрузки, а также постоянное хранилище, чтобы ваши настройки не потерялись при удалении и повторном разворачивании контейнера. Чтобы убедится, что Portainer запущен выполните такую команду:

# sudo docker ps

Подробнее про Portainer - здесь.

Если вы ставили Ubuntu 20.04 на бесплатный VPS сервер от Oracle, то необходимо открыть порт 9000. Для этого открываем ссылку в письме, которая пришла после регистрации в Oracle, вводим логин и пароль и попадаем в свою учетку, где следуем по пути: Сети - Виртуальные облачные сети - vcn- (ВАШ) - Сведения о списках безопасности. Альтернативный способ попасть туда из главного окна: "Настроить сеть с помощью мастера", "Запуск мастера VNC" нужно нажать "отмена", кликаем на свой "VNC-номер", далее в "ресурсах" нажимаем на "Списки безопасности" и кликаем на "Default Security List for vcn-номер" где добавляем правила для входящего трафика:

На всякий случай можно ещё настроить (открыть порт) для файрволла IPTABLES (мне не потребовалось):
# sudo iptables --policy INPUT ACCEPT
# sudo iptables -F
# sudo iptables -A INPUT -p tcp --dport 9000 -m state --state NEW -j ACCEPT
# sudo netfilter-persistent save
# sudo ufw disable

Portainer будет доступен по адресу ipaddress:9000 (ip-address вашей виртуальной машины) в браузере, где должна открыться такая страничка. Вводим свои данные (регистрируемся).

Вот пример контейнеров Home Аssistant Supervised установленной ранее  на Ubuntu 20.04 на бесплатном VPS сервере от Oracle по инструкции с этого поста.

Здесь их легко можно перезапустить, остановить или даже "Remove" / "Kill".... )))

На этом, по теме поста, у меня В С Ё ;-)

Всем "Бобра" ;-)

Привет Пикабу!

Cегодня установим  тестовую систему умного дома Home Assistant на Ubuntu 20.04, которую в этом посте  мы установили на бесплатный VPS сервер от Oracle (без использования Docker).

ВАЖНО! ТЕСТОВУЮ!  Для "попробовать, что это за зверь такой", пока не решились на установку дома своего сервера или покупку Raspberry, ибо Умный дом нужно ставить на локальном сервере! Напомню, что в этой статье я рассказывал почему мой выбор остановился на системе HomeAssistan, которая является домашней автоматизацией с открытым исходным кодом и которая ставит на первое место локальный контроль и конфиденциальность!

Учитывая выше сказанное, ставить "Умный дом" на чужой сервере - "Ну, такое себе" )))

Вместо предисловия или disclaimer )))
Начинаю потихоньку наполнять свой аккаунт на Пикабу полезной информацией по тематике Умный дом. Обращаю Ваше внимание, что это будут не всегда полноценные и пошаговые инструкции и туториалы, а скорее выдержки типа "шпаргалок", на случай посмотреть, если забыл. Ну как бы я буду писать здесь "шпаргалки" и "запоминалки" для себя и на будущее, а Вы можете ими пользоваться или нет, как в старые добрые институтские времена.... ))) Поэтому любой мой пост не претендует на правильность высказанного в нём моего мнения и истину моих умозаключений в конечной инстанции, я просто делюсь своим скромным опытом. Всё что Вы будете делать и повторять по моим постам, Вы делаете на свой страх и риск ;-)

Для тех, кто уже знаком с разными видами установки Home Assistant  (благо информации на эту тему в интернете полно) нужно будет учесть только пару нюансов по открытию портов в самой "web-морде" вашей учетки Oracle VPS, ни и конечно настройки файрвола. Примеры этого есть в конце моего этого поста.

В этом посте мы рассмотрим установку Home Аssistant (Home Assistant Core) в виртуальном окружении Python (без использования Docker).

Рекомендую этот способ  (во всяком случае начать с него) для новичков и "чайников". Он не является самым простым и у него есть свои минусы, но он может позволить понять, что мы делаем и развиваться в этом направлении в дальнейшем.

Второй, более "простой" способ (на мой взгляд) установки "Home Assistant Supervised (в Docker) на Ubuntu 20.04 на бесплатный VPS сервер от Oracle" опишу в своём следующем посте, а так как у нас фактически две виртуальные машины от Oracle, можно будет протестировать оба варианта (каждый на своей) и выбрать для себя наиболее подходящий. )))

Итак, к делу.

Подключаемся через PuTTy по SSH к своему серверу

(Как? По этой ссылке в конце поста мы это уже делали.)

Подготовим систему.

1) Для получения списка новых пактов, выполните:

sudo apt-get update

2) Для выполнения обновления пакетов, выполните:

sudo apt-get upgrade -y

Инструкция ниже составлена на основе "Manual installation on a Raspberry Pi" с официального сайта Home Assistant.

Ручная установка Home Assistant Core в виртуальной среде Python на на Ubuntu 20.04.

1) Устанавливаем необходимые нам пакеты для питона (vens, pip….):

2) Создаём пользователя и добавляем в группу dialout:

3) Создадим папку homeassistant в папке srv:

cd /srv

sudo mkdir homeassistant

4) и назначим её владельцем пользователя homeassistant:

5) Создание и изменение виртуальной среды (вводите лучше построчно):

sudo -u homeassistant -H -s

cd /srv/homeassistant

python3.8 -m venv .  (пробел и точка нужна)

source bin/activate

6) Устанавливаем  необходимый пакет Python:

python3 -m pip install wheel

7) Устанавливаем Home Assistant Core:

pip3 install homeassistant

8) Эта команда создаёт каталог конфигурации и установит все основные зависимости:

hass

Настроим брандмауэр IPTABLES (для нашей виртуальной машины на сервере Oracle), если не сделали это ранее. Команды вводим от своего пользователя, а не от homeassistant!!!
sudo iptables --policy INPUT ACCEPT
sudo iptables -F
sudo iptables -A INPUT -p tcp --dport 8123 -m state --state NEW -j ACCEPT
sudo netfilter-persistent save
sudo ufw disable

Через пару минут вводим ipaddress:8123 (ip-address вашей виртуальной машины) в браузере, где должна открыться такая страничка. Вводим свои данные (регистрируемся) и настраиваем/тестируем  систему....

Если необходимо создать сервис, который будет запускать homeassistant при перезапуске системы, то создаём файл сервиса:

sudo nano /etc/systemd/system/homeassistant@homeassistant.service

Вставляем туда этот текст:

[Unit]
Description=Home Assistant
After=network-online.target
[Service]
Type=simple
User=%i
ExecStart=/srv/homeassistant/bin/hass -c "/home/homeassistant/.homeassistant"
[Install]
WantedBy=multi-user.target

Активировать наш сервис в системе и запускаем его:

sudo systemctl --system daemon-reload

sudo systemctl enable homeassistant@homeassistant.service

sudo systemctl start homeassistant@homeassistant.service

Чтобы обновить Home Assistant Core до последней версии, введите команды:
sudo -u homeassistant -H -s
source /srv/homeassistant/bin/activate
pip3 install --upgrade homeassistant

Если потребуется активировать виртуальную среду, то введите следующие команды:
sudo -u homeassistant -H -s

source /srv/homeassistant/bin/activate

Как-то так у Вас будет выглядеть главная станица после регистрации :-)

Если спустя 5-10 минут после установки у Вас не по прежнему не открывается стартовая страница homeassistant, то убедитесь, что открыт порт 8123  на VPS от Oracle (если не сделали этого ранее). Для этого открываем ссылку в письме, которая пришла после регистрации в Oracle, вводим логин и пароль и попадаем в свою учетку, где следуем по пути:Сети - Виртуальные облачные сети - vcn- (ВАШ) - Сведения о списках безопасности

Альтернативный способ попасть туда из главного окна: "Настроить сеть с помощью мастера", "Запуск мастера VNC" нужно нажать "отмена", кликаем на свой "VNC-номер", далее в "ресурсах" нажимаем на "Списки безопасности" и кликаем на "Default Security List for vcn-номер"

В С Ё!!! Готово!  Тестируйте на здоровье ;-)

Всем пока и "бобра"! ;-)