Добрый вечер, коллеги. Сегодня пришлось решать интересную задачу. У заказчика Рутокен для ЕГАИС, эта же подпись была использована для ЭДО в СБИС. Все работало пока не пришло время перевыпустить ГОСТ-сертификат.
С ЕГАИС все нормально, все работает. А вот ЭДО почему-то пыталось подгрузить старый сертификат. Попытки экспорта - импорта нового ни к чему ни привели. Новый сертификат не видел закрытый ключ, который в Рутокен неизвлекаемый.
Ладно, попробуем "звонок другу", т.е. в поддержку. Ситуация осложнялась тем, что ЭЦП было выпущено не СБИС, а другой организацией.
Выпустившая подпись контора посмотрела, мол с ЭЦП все норм, ЕГАИС работает, а про ЭДО - это не к нам. Ну их понять можно, им заплатили за перевыпуск подписи, подпись работает, а продукт конкурентов - это к конкурентам.
Поддержка СБИС, две милые дамы, потыкали туда - сюда и сказали, что могут только нам посочувствовать. Мол подпись не их, ничего сделать не могут, поэтому лучше всего купите подпись у нас...
В общем путем научного тыка удалось выяснить, что экспортированный с Рутокен сертификат нужно на него же и импортировать, только в другой контейнер.
А теперь вопрос: есть ли смысл оформить все это в виде статьи? Интересна ли вам данная тема?
С ЕГАИС все нормально, все работает. А вот ЭДО почему-то пыталось подгрузить старый сертификат. Попытки экспорта - импорта нового ни к чему ни привели. Новый сертификат не видел закрытый ключ, который в Рутокен неизвлекаемый.
Ладно, попробуем "звонок другу", т.е. в поддержку. Ситуация осложнялась тем, что ЭЦП было выпущено не СБИС, а другой организацией.
Выпустившая подпись контора посмотрела, мол с ЭЦП все норм, ЕГАИС работает, а про ЭДО - это не к нам. Ну их понять можно, им заплатили за перевыпуск подписи, подпись работает, а продукт конкурентов - это к конкурентам.
Поддержка СБИС, две милые дамы, потыкали туда - сюда и сказали, что могут только нам посочувствовать. Мол подпись не их, ничего сделать не могут, поэтому лучше всего купите подпись у нас...
В общем путем научного тыка удалось выяснить, что экспортированный с Рутокен сертификат нужно на него же и импортировать, только в другой контейнер.
А теперь вопрос: есть ли смысл оформить все это в виде статьи? Интересна ли вам данная тема?
Чудеса да и только...
Доброго вечера, коллеги. Сегодня, в выходной день вынужденно пришлось решать одну загадочную проблему,
Вчера у одного из заказчиков заменили интернет в офисе, вместо PPPoE от Ростелекома, который стоил космических денег за несчастные 20 Мбит поставили оптику от другого провайдера, 100 МБит в обе стороны и за меньшие деньги,
Все бы хорошо, но сегодня утром выяснилось, что не работает автообмен между узлами 1С, точнее работает, но крайне отвратительно, обмен проходил не с первого раза, т.е. раз в час-полтора, вместо 15 минут.
Сервер FTP в норме, на самих узлах все ОК. Сеть ОК, канал к серверу без потерь и задержек. Оборудование в норме. Проверили все, без толку.
Ко второй половине дня нервы сдали и я просто поднял на роутере VPN с точкой выхода в Германии, поближе к FTP-серверу и чудо, все заработало.
Что бы это могло быть? Из сетевого оборудования добавился только GPON-терминал Huawei HG8245T, аппарат весьма скудный настройками. Ну или провайдер что-то с FTP-трафиком делает.
Доброго вечера, коллеги. Сегодня, в выходной день вынужденно пришлось решать одну загадочную проблему,
Вчера у одного из заказчиков заменили интернет в офисе, вместо PPPoE от Ростелекома, который стоил космических денег за несчастные 20 Мбит поставили оптику от другого провайдера, 100 МБит в обе стороны и за меньшие деньги,
Все бы хорошо, но сегодня утром выяснилось, что не работает автообмен между узлами 1С, точнее работает, но крайне отвратительно, обмен проходил не с первого раза, т.е. раз в час-полтора, вместо 15 минут.
Сервер FTP в норме, на самих узлах все ОК. Сеть ОК, канал к серверу без потерь и задержек. Оборудование в норме. Проверили все, без толку.
Ко второй половине дня нервы сдали и я просто поднял на роутере VPN с точкой выхода в Германии, поближе к FTP-серверу и чудо, все заработало.
Что бы это могло быть? Из сетевого оборудования добавился только GPON-терминал Huawei HG8245T, аппарат весьма скудный настройками. Ну или провайдер что-то с FTP-трафиком делает.
Почему я не люблю OpenVPN на Mikrotik
Сегодня довелось еще раз в этом убедиться. Есть схема примерно соответствующая рисунку. Имеется центральный роутер, к которому присоединены роутеры точек, за каждым сеть. Между роутерами SSTP c 256-битным шифрованием. И есть ноутбук мобильного сотрудника, с OpenVPN, шифрование 128 бит.
Итак, подключаем ноутбук к роутеру B и проверяем доступность удаленного узла. По дороге два SSTP, результат отличный.
Подключаем OpenVPN. Далее идет непереводимая игра слов и выражений... Цензурных слов нет.
Меняем RB2011 на гораздо более мощный hEX. Ну уже что-то более менее приемлемое.
Выводы: на слабом железе (все что не ARM и не hEX) для чего-либо более-менее серьезного OpenVPN в исполнении Mikrotik непригоден.
Тем временем "OpenVPN на Mikrotik" - один из самых популярных запросов на нашем сайте.
Сегодня довелось еще раз в этом убедиться. Есть схема примерно соответствующая рисунку. Имеется центральный роутер, к которому присоединены роутеры точек, за каждым сеть. Между роутерами SSTP c 256-битным шифрованием. И есть ноутбук мобильного сотрудника, с OpenVPN, шифрование 128 бит.
Итак, подключаем ноутбук к роутеру B и проверяем доступность удаленного узла. По дороге два SSTP, результат отличный.
Подключаем OpenVPN. Далее идет непереводимая игра слов и выражений... Цензурных слов нет.
Меняем RB2011 на гораздо более мощный hEX. Ну уже что-то более менее приемлемое.
Выводы: на слабом железе (все что не ARM и не hEX) для чего-либо более-менее серьезного OpenVPN в исполнении Mikrotik непригоден.
Тем временем "OpenVPN на Mikrotik" - один из самых популярных запросов на нашем сайте.
Сериал "На дне", серия номер следующая, в главной роли - СофтБаланс.
Как говорится, не прошло и нескольких дней с последнего обращения в поддержку сего поделия. Вроде как все заработало и люди немного расслабились. А с чем-то даже смирились, вроде эпизодически отваливающего ключа защиты.
Обновляться уже просто боятся, вопрос теперь даже не в деньгах, ибо Софтбаланс чинит одно и тут же ломает другое.
Ответ поддержки на наше обращение вообще удивил своей простотой. Ключевое слово - возможно... Эй, ребята, вы там совсем что-ли? Вы ошибки вообще регистрируете? Внутренний контроль ведете?
Как говорится, не прошло и нескольких дней с последнего обращения в поддержку сего поделия. Вроде как все заработало и люди немного расслабились. А с чем-то даже смирились, вроде эпизодически отваливающего ключа защиты.
Обновляться уже просто боятся, вопрос теперь даже не в деньгах, ибо Софтбаланс чинит одно и тут же ломает другое.
Ответ поддержки на наше обращение вообще удивил своей простотой. Ключевое слово - возможно... Эй, ребята, вы там совсем что-ли? Вы ошибки вообще регистрируете? Внутренний контроль ведете?
Зачем Microsoft ломает пользовательские интерфейсы?
Переехавшую в центр панели кнопку Пуск не обсудил только ленивый. Новая инициатива Microsoft не столь известна, хотя местами ее уже успели обозреть и выдать положительные отзывы.
Это вертикальные вкладки. Подается все опять под соусом повышения удобства. Но по факту снова ломается интерфейс и умножается на ноль пользовательский опыт, причем очень старый опыт, практический рефлекс.
Вкладки в браузере были вверху всегда! Это уже на бессознательном уровне, также как и Пуск слева внизу.
У меня обычно много вкладок, очень много, сейчас вот 94, но никакого улучшения я не заметил. Даже если отбросить то, что я постоянно ищу их сверху, по вертикали их умещается меньшее количество. Плюс постоянно выезжающая панель не добавляет скорости работы.
Самое интересное, что вертикальные вкладки не новы, таких расширений для Chrome в магазине достаточно, но особой популярностью они не пользуются, так какой смысл в очередной раз наступать на одни и те же грабли?
Переехавшую в центр панели кнопку Пуск не обсудил только ленивый. Новая инициатива Microsoft не столь известна, хотя местами ее уже успели обозреть и выдать положительные отзывы.
Это вертикальные вкладки. Подается все опять под соусом повышения удобства. Но по факту снова ломается интерфейс и умножается на ноль пользовательский опыт, причем очень старый опыт, практический рефлекс.
Вкладки в браузере были вверху всегда! Это уже на бессознательном уровне, также как и Пуск слева внизу.
У меня обычно много вкладок, очень много, сейчас вот 94, но никакого улучшения я не заметил. Даже если отбросить то, что я постоянно ищу их сверху, по вертикали их умещается меньшее количество. Плюс постоянно выезжающая панель не добавляет скорости работы.
Самое интересное, что вертикальные вкладки не новы, таких расширений для Chrome в магазине достаточно, но особой популярностью они не пользуются, так какой смысл в очередной раз наступать на одни и те же грабли?
Инсайдерская Windows 10 легким движением руки превратилась в инсайдерскую Windows 11. Отличия от утекшей сборки есть, местами существенные. Но что касается UI все стало только хуже, Привычные вещи ломаются, а для того, чтобы вернуть как было нужны дополнительные телодвижения. Скоро сделаем новый обзор, а пока несколько картинок.
Самый страшный враг любой информационной системы - пользователь. Это такое "сообразительное" существо, что адекватной защиты от него просто не существует. Сегодня еще раз в этом убедились.
Началась история вчера. Управляющий одной из торговых точек сообщил. что у него не сходятся продажи по программе и Z-отчету ККТ за два дня. В первую очередь проверили чеки по ОФД, все в порядке.
Перешли к отчетам о розничной продаже. И тут выяснилось, что отчет за 2-е число поврежден, плюс часть чеков за 2-е число попало в отчет за 3-е.
Переформировали отчеты, цифры совпали. Стали разбираться как так могло произойти. Ничего толкового в голову не приходило, решили посмотреть по камерам.
То что мы увидели привело нас в, мягко говоря, изумление.
Система закрытия смены построена так, что после выхода из ККТ Z-отчета в программе формируется отчет о розничных продажах и принудительно выполняется синхронизация с центральным узлом (уже наша доработка), что естественно занимает какое-то время. Закрыть программу и выключить компьютер в это время нельзя.
Но разве пользователя, идущего к своей цели (побыстрее свалить домой) что-нибудь способно остановить? Правильно, нет. Поэтому на этой точке освоили "лайфхак". Буквально выхватив из ККТ Z-отчет, второй рукой нажать на кнопочку бесперебойника. И все, можно идти домой...
Хотя каждый из продавцов под роспись ознакомлен с регламентом, где буквально и по пунктам рассказано как что включать и выключать. Как с этим бороться? А вот и не знаю. Ну оштрафовать можно, только это все уже реагирование на после, когда событие уже свершилось.
Началась история вчера. Управляющий одной из торговых точек сообщил. что у него не сходятся продажи по программе и Z-отчету ККТ за два дня. В первую очередь проверили чеки по ОФД, все в порядке.
Перешли к отчетам о розничной продаже. И тут выяснилось, что отчет за 2-е число поврежден, плюс часть чеков за 2-е число попало в отчет за 3-е.
Переформировали отчеты, цифры совпали. Стали разбираться как так могло произойти. Ничего толкового в голову не приходило, решили посмотреть по камерам.
То что мы увидели привело нас в, мягко говоря, изумление.
Система закрытия смены построена так, что после выхода из ККТ Z-отчета в программе формируется отчет о розничных продажах и принудительно выполняется синхронизация с центральным узлом (уже наша доработка), что естественно занимает какое-то время. Закрыть программу и выключить компьютер в это время нельзя.
Но разве пользователя, идущего к своей цели (побыстрее свалить домой) что-нибудь способно остановить? Правильно, нет. Поэтому на этой точке освоили "лайфхак". Буквально выхватив из ККТ Z-отчет, второй рукой нажать на кнопочку бесперебойника. И все, можно идти домой...
Хотя каждый из продавцов под роспись ознакомлен с регламентом, где буквально и по пунктам рассказано как что включать и выключать. Как с этим бороться? А вот и не знаю. Ну оштрафовать можно, только это все уже реагирование на после, когда событие уже свершилось.
Особенности использования, экспорт, импорт и бекап сертификатов Mikrotik
https://interface31.ru/tech_it/2021/07/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov.html
https://interface31.ru/tech_it/2021/07/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov.html
Записки IT специалиста
Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
Mikrotik предоставляет пользователям достаточно широкие возможности, одна из них - создание на роутере собственного центра сертификации (CA), который позволяет управлять собственной инфраструктурой открытых ключей (PKI). Благодаря этому вы можете выпускать…
Вышел Proxmox VE 7.0, революционных изменений нет, но обновлены многие ключевые компоненты, добавлены новые инструменты в веб-панель, добавлена поддержка btrfs.
https://www.proxmox.com/en/downloads
https://www.proxmox.com/en/downloads
Proxmox
Downloads
Обзор инсайдерской версии Windows 11, что нового по сравнению с утекшим билдом? Новая область уведомлений на панели задач и новый проводник. Где-то стало лучше, а где-то все поломали (это о новом Пуске)
https://interface31.ru/tech_it/2021/07/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no.html
https://interface31.ru/tech_it/2021/07/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no.html
Записки IT специалиста
Инсайдерская версия Windows 11 - теперь уже вполне официально
Не так давно мы уже рассматривали одну из разрабатываемых версий Windows 11, которая попала в широкий доступ в результате утечки. Кроме того, что это действительно подлинная версия, об утекшей сборке было мало что известно: с какого этапа разработки утекла…
Пятничное. Одна дискета и поездка зимой за 80 км.
Добрый вечер, коллеги, всех с пятницей. 🍺🍺🍺
Дело было в начале 2000-х, я тогда работал в среднего размера местной компьютерной фирме в отделе обслуживания юрлиц. А в техотдел привезли из области сервер с NT4, железо там поменять, проапгрейдить. Заодно поставить вместо NT4 новую Windows 2000.
А у Win2k была тогда такая фишка, что если не загрузить отдельно smartdrive, то он будет копировать файлы до китайской пасхи, ну загружали, разумеется с дискеты.
В общем мой коллега Женя все установил, поставил чистый Windows 2000 Server, а так как в серверах был слаб позвал настроить меня. Все сделали, выключили запаковали в коробку, отдали клиенту.
Уже поздно вечером звонок, звонит Женя, мол сервер не включается, клиент рвет и мечет, директор сказал ему ехать на место и решать проблему. А так как в серверах он не бум-бум, то обещает магарыч, лишь бы я с ним поехал. Ну коллег надо выручать, собрался, поехали.
Половину пути преодолели по трассе, а потом пошли дороги районного значения, снег, метель, отсутствие освещения. Ехали 80 км часа два. Кстати на обратном пути чуть не снесли двух местных мужиков, которые в кромешной тьме, без каких либо светоотражающих средств толкали по полосе старенькие Жигули с выключенными световыми приборами. Благо на таких дорогах движения нет, ушли по встречке.
Ну в общем приехали, подходим к серверу и видим в дисководе дискету... 🙈🙈🙈
Легким движением руки извлекаем ее, жмем Reset и сервер взлетает... Все в шоке. Благо клиент попался понимающий, мол а чего вы по телефону не сказали, мы бы сами вытащили. Ну так кто знал... Зато напоили нас чаем с плюшками и мы поехали назад, вернулись уже глубокой ночью.
Вот как оно и бывает. Забыл вытащить дискету - получил долгое путешествие.
Добрый вечер, коллеги, всех с пятницей. 🍺🍺🍺
Дело было в начале 2000-х, я тогда работал в среднего размера местной компьютерной фирме в отделе обслуживания юрлиц. А в техотдел привезли из области сервер с NT4, железо там поменять, проапгрейдить. Заодно поставить вместо NT4 новую Windows 2000.
А у Win2k была тогда такая фишка, что если не загрузить отдельно smartdrive, то он будет копировать файлы до китайской пасхи, ну загружали, разумеется с дискеты.
В общем мой коллега Женя все установил, поставил чистый Windows 2000 Server, а так как в серверах был слаб позвал настроить меня. Все сделали, выключили запаковали в коробку, отдали клиенту.
Уже поздно вечером звонок, звонит Женя, мол сервер не включается, клиент рвет и мечет, директор сказал ему ехать на место и решать проблему. А так как в серверах он не бум-бум, то обещает магарыч, лишь бы я с ним поехал. Ну коллег надо выручать, собрался, поехали.
Половину пути преодолели по трассе, а потом пошли дороги районного значения, снег, метель, отсутствие освещения. Ехали 80 км часа два. Кстати на обратном пути чуть не снесли двух местных мужиков, которые в кромешной тьме, без каких либо светоотражающих средств толкали по полосе старенькие Жигули с выключенными световыми приборами. Благо на таких дорогах движения нет, ушли по встречке.
Ну в общем приехали, подходим к серверу и видим в дисководе дискету... 🙈🙈🙈
Легким движением руки извлекаем ее, жмем Reset и сервер взлетает... Все в шоке. Благо клиент попался понимающий, мол а чего вы по телефону не сказали, мы бы сами вытащили. Ну так кто знал... Зато напоили нас чаем с плюшками и мы поехали назад, вернулись уже глубокой ночью.
Вот как оно и бывает. Забыл вытащить дискету - получил долгое путешествие.
💰 Выделенные сервера за 1 доллар в месяц
Время от времени нам всем требуются недорогие выделенные сервера под различные нужды. Можно воспользоваться бесплатными предложениями от Google или Oracle, а можно приобрести что-то совсем дешевое.
Но нужно понимать, что ожидать чудес в этой ценовой категории не стоит, хотя иногда попадаются весьма интересные предложения. Например я уже не первый год использую в качестве персонального VPN-сервера VPS за 6 долларов в год (0,5 доллара в месяц!!!) и он вполне стабильно работает.
Из представленных ниже предложений наиболее интересно LEB Special 1GB KVM VPS от RackNerd и их представители достаточно активны в комментариях.
https://lowendbox.com/blog/1-vps-1-usd-vps-per-month/
Время от времени нам всем требуются недорогие выделенные сервера под различные нужды. Можно воспользоваться бесплатными предложениями от Google или Oracle, а можно приобрести что-то совсем дешевое.
Но нужно понимать, что ожидать чудес в этой ценовой категории не стоит, хотя иногда попадаются весьма интересные предложения. Например я уже не первый год использую в качестве персонального VPN-сервера VPS за 6 долларов в год (0,5 доллара в месяц!!!) и он вполне стабильно работает.
Из представленных ниже предложений наиболее интересно LEB Special 1GB KVM VPS от RackNerd и их представители достаточно активны в комментариях.
https://lowendbox.com/blog/1-vps-1-usd-vps-per-month/
DROP или REJECT???
Сегодня в очередной раз столкнулись с "непонятной" для одного нашего коллеги ситуацией. В которой вся непонятность заключалась в том, что он использовал DROP вместо REJECT.
DROP вообще пользуется популярностью, фигурируя во всех примерах и инструкциях, поэтому многие, по привычке, используют его.
В чем разница? DROP просто отбрасывает пакет, а REJECT при этом сообщает отправителю что порт недоступен.
Для внешних соединений практически всегда лучше использовать DROP, чтобы возможный злоумышленник не получил дополнительной информации о вашем узле. Есть там работающая служба или нет он может только догадываться.
REJECT же предпочтительнее для внутренних соединений. Во-первых, увеличится скорость работы, так как соединению не нужно будет ждать таймаута, сообщение о недоступности цели будет получено сразу. Во-вторых, это значительно упрощает отладку, так как есть четкое понимание, что узел функционирует нормально и отбрасывает вас именно брандмауэр. В противном случае можно потратить много сил и средств разбираясь в ситуации, особенно если сработало какое-то неявное правило с динамическим условием (и особенно если вы его вычитали где-то в интернете и слабо представляете как именно оно работает).
Поэтому для внутренних соединений всегда REJECT, для внешних - DROP.
Сегодня в очередной раз столкнулись с "непонятной" для одного нашего коллеги ситуацией. В которой вся непонятность заключалась в том, что он использовал DROP вместо REJECT.
DROP вообще пользуется популярностью, фигурируя во всех примерах и инструкциях, поэтому многие, по привычке, используют его.
В чем разница? DROP просто отбрасывает пакет, а REJECT при этом сообщает отправителю что порт недоступен.
Для внешних соединений практически всегда лучше использовать DROP, чтобы возможный злоумышленник не получил дополнительной информации о вашем узле. Есть там работающая служба или нет он может только догадываться.
REJECT же предпочтительнее для внутренних соединений. Во-первых, увеличится скорость работы, так как соединению не нужно будет ждать таймаута, сообщение о недоступности цели будет получено сразу. Во-вторых, это значительно упрощает отладку, так как есть четкое понимание, что узел функционирует нормально и отбрасывает вас именно брандмауэр. В противном случае можно потратить много сил и средств разбираясь в ситуации, особенно если сработало какое-то неявное правило с динамическим условием (и особенно если вы его вычитали где-то в интернете и слабо представляете как именно оно работает).
Поэтому для внутренних соединений всегда REJECT, для внешних - DROP.
👍2