При попытке установить второй IPsec туннель с маршрутизатора Микротик с прошивкой 6.42.1 до PfSense с прошивкой 2.4.4, не устанавливается соединение на второй фазе. При этом в журнале Микротка появляются записи: failed to pre-process ph2 packet. В записях журнала PfSense может быть: received ATTRIBUTES_NOT_SUPPORTED error notify.
Проблема устранена после выполнения двух условий:
В журнале почтового сервера замечены ошибки:
opendkim[15714]: can’t load key from /etc/opendkim/keys/yoursite.ru.private: Permission denied
opendkim[15714]: 853812117BFD: error loading key ‘mail._domainkey.yoursite.ru’
postfix/cleanup[11933]: 853812117BFD: milter-reject: END-OF-MESSAGE from localhost[127.0.0.1]: 4.7.1 Service unavailable — try again later; from=
Ошибка связана с доступом OpenDKIM к файлу ключа: по умолчанию владелец ключа пользователь root. Для решения проблемы необходимо сменить владельца ключа командой:
sudo chown opendkim:mail /etc/opendkim/keys/selector.private
где selector.private — имя вашего файла ключа.
Также возможно появление ошибок вида:
opendkim[25573]: mail._domainkey.yoursite.ru: key data is not secure: /etc/opendkim/keys/yoursite.ru.private is in group 12 which has multiple users (e.g. «mail»)
opendkim[25573]: B00D22114B3E: error loading key ‘mail._domainkey.yoursite.ru’
postfix/cleanup[28212]: B00D22114B3E: milter-reject: END-OF-MESSAGE from localhost[127.0.0.1]: 4.7.1 Service unavailable — try again later; from=
В это случае, с файла ключа необходимо убрать доступ для группы владельца файла:
sudo chmod 600 /etc/opendkim/keys/selector.private
где selector.private — имя вашего файла ключа.
В журнале почтового сервера замечена ошибка: postfix/smtpd9137: warning: connect to Milter service unix:/var/run/opendkim/opendkim.sock: Permission denied
Для начала необходимо проверить, запущен ли демон OpenDKIM командой:
ls -l /var/run/opendkim
(путь может быть иным, он задаётся в файле /etc/opendkim.conf).
Если сокет отсутствует, необходимо попытаться запустить демона вручную:
service opendkim start
Если же сокет присутствует, то необходимо проверить наличие прав у почтового сервера для доступа к нему. И, в случае отсутствия оных, выдать их: либо изменив UMask в файле /etc/opendkim.conf, либо добавив пользователя, от имени которого работает почтовый сервер, в группу opendkim.
Возможно также, что почтовый сервер запущен с изменённым корневым каталогом (chroot), тогда в файле /etc/opendkim.conf необходимо изменить путь для сокета, указав директорию, доступную почтовому серверу.
При попытке копирования файлов на другой компьютер по сети, посредством программы Robocopy, выводится ошибка:
ОШИБКА 1326 (0x0000052E) Вход в систему не произведен: имя пользователя или пароль не опознаны
Данная ошибка выводится, так как для записи файлов требуется авторизация. Но программа Robocopy не умеет выполнять авторизацию по SMB. Для решения проблемы, перед использованием Robocopy, можно осуществить авторизацию на удаленном хранилище посредством программы net use:
net use \\имя_компьютера_или_IP-адрес /user:имя_пользователя пароль
После копирования, можно закрыть соединение командой:
net use \\имя_компьютера_или_IP-адрес /d
При попытке подключиться к базе данных 1С, расположенной на веб-сервере, отображается окно с ошибкой: the request url was not found on this server.
Если публикация БД на веб-сервере была выполнена правильно, возможно служба Apache не была перезапущена системой. В этом случае, необходимо её перезапустить вручную: ПКМ на панели задач → открыть Диспетчер задач → вкладка Службы → ПКМ на службе Apache → Перезапустить.
Ошибка в программе диагностики лицензий службы удаленных рабочих столов: «Сервер лицензий недоступен. Это может быть вызвано проблемами с сетевым подключением, служба лицензирования удаленных рабочих столов остановлена на сервере лицензий или больше не лицензируется RD Licensing».
Для решения проблемы:
При подключении к маршрутизатору Микротик с прошивкой младше версии 6.43, может отобразиться ошибка: router does not support secure connection, please enable Legacy Mode if you want to connect anyway.
В программе Winbox старше версии 3.22 имеется возможность включения устаревшего режима, для подключения к маршрутизатору незащищенным методом. Для включения этого режима, на вкладке Tools программы Winbox, выберите Legacy mode.
Ошибка 0x0000065B при формировании данных подписи означает, что истекла лицензия на криптопровайдер КриптоПро. Проверить это можно, запустив программу КриптоПро CSP (Пуск → Панель управления → КриптоПро CSP) и перейдя в раздел Общие, где отображается информация о лицензии: в строке Срок действия будет указано Истекла. Для устранения ошибки, необходимо на этой же вкладке окна КриптоПро, нажать кнопку Ввод лицензии и в открывшемся окне ввести номер лицензии и сведения о пользователе. После чего, информация о текущей лицензии должна измениться: появится дата действия лицензии в поле Срок действия, либо значение Постоянная, если лицензия бессрочная; тип лицензии — Клиентская.
adduser —home /var/www/challenges \
—shell /bin/sh \
—disabled-password \
—disabled-login \
letsencrypt
mkdir -p /etc/letsencrypt/domains
cd /etc/letsencrypt/
openssl dhparam -out dhparam.pem 2048
openssl genrsa 4096 > account.key
cd /var/www/challenges
wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
DOMAINS=( site1.ru site2.com )
DOMAIN_ROOT=/etc/letsencrypt/domains
ACCOUNT_KEY=/etc/letsencrypt/account.key
ACME_DIR=/var/www/challenges
ACME_TINY=${ACME_DIR}/acme_tiny.py
[ -d ${DOMAIN_ROOT} ] || { echo "ERROR: DOMAIN_ROOT dir does not exists"; exit 1; }
[ -f ${ACCOUNT_KEY} ] || { echo "ERROR: ACCOUNT_KEY not found."; exit 1; }
[ -d ${ACME_DIR} ] || { echo "ERROR: ACME_DIR dir does not exists"; exit 1; }
[ -f "$ACME_TINY" ] || { echo "ERROR: ACME_TINY not found."; exit 1; }
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > ${DOMAIN_ROOT}/intermediate.pem
for DOMAIN in "${DOMAINS[@]}"
do
if [ ! -f "${DOMAIN_ROOT}/${DOMAIN}.key" ]; then
echo "INFO: Generation private key for $DOMAIN";
openssl genrsa 4096 > ${DOMAIN_ROOT}/${DOMAIN}.key
openssl req -new -sha256 -key ${DOMAIN_ROOT}/${DOMAIN}.key -subj "/CN=${DOMAIN}" > ${DOMAIN_ROOT}/${DOMAIN}.csr
fi
echo "INFO: Generation cert for $DOMAIN";
python ${ACME_TINY} --account-key ${ACCOUNT_KEY} --csr ${DOMAIN_ROOT}/${DOMAIN}.csr --acme-dir ${ACME_DIR} > ${DOMAIN_ROOT}/${DOMAIN}.crt || exit 1
cat ${DOMAIN_ROOT}/${DOMAIN}.crt ${DOMAIN_ROOT}/intermediate.pem > ${DOMAIN_ROOT}/${DOMAIN}.pem
done
sudo service nginx reload
chmod 755 /etc/letsencrypt
chown -R letsencrypt: /etc/letsencrypt /var/www/challenges
location ^~ /.well-known/acme-challenge/ {
alias /var/www/challenges/;
try_files $uri =404;
allow all;
}
include /etc/nginx/acme;
/bin/bash /var/www/challenges/acme-tiny.sh
server {
server_name site1.ru www.site1.ru;
listen 80;
include acme;
# включим переадресацию на https-версию сайта
location / {
return 301 https://$host$request_uri;
}
}
server {
server_name site1.ru www.site1.ru;
listen 443 ssl;
# включим шифрование
ssl on;
ssl_certificate /etc/letsencrypt/domains/alluborka.ru.pem;
ssl_certificate_key /etc/letsencrypt/domains/alluborka.ru.key;
ssl_dhparam /etc/letsencrypt/dhparam.pem;
ssl_stapling on;
ssl_stapling_verify on;
# исключим возврат на http-версию сайта
add_header Strict-Transport-Security "max-age=31536000";
# явно "сломаем" все картинки с http://
add_header Content-Security-Policy "img-src https: data:; upgrade-insecure-requests";
...
}
SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin 0 0 1 * * letsencrypt /bin/bash /var/www/challenges/acme-tiny.sh >> /var/log/acme_tiny.log
sudo touch /var/log/acme_tiny.log
sudo chown letsencrypt: /var/log/acme_tiny.log