芳草苑

Category: 杂草

随想随笔,就让在杂草堆里的文章杂草丛生吧

  • Add Letsencrypt certificate to Mikrotik router

    RouterOS 7 开始可以用 /certificate/enable-ssl-certificate 命令完成http-01 challenge 并得到一张证书。

    得到 90 天的证书,就想安排一个 auto renew 的程序。

    这里有个问题:/certificate/enable-ssl-certificate 命令究竟包不包 auto renew?

    我好像在哪里看到过用 /certificate/enable-ssl-certificate 命令可以得到一张证书,其自会 auto renew。但这一点后来就再也找不到出处了,我就认为我看花眼了,或者记错了。

    网上有很多教如何在 Mikrotik 路由器上 anto renew 证书。大致涉及到四步骤:

    删除旧证书

    生成新证书

    再重新添加到用到证书的各项服务里,如 HTTPS、SSTP

    在 Schedule 里让上述代码每60-89天运行一次

    最近我正研究着 Deepseek 为我写的 auto renew script(逻辑上更复杂一点,会根据证书剩余时间来决定下次运行 script 的日子),突然发现快过期的证书已经更新了,而我还什么都没做啊?!

    于是我问 Deepseek:/certificate/enable-ssl-certificate 这个命令除了创建一张证书,会不会在到期前自动续订证书?

    Deepseek 回答不会。

    然后我说,我刚刚已经观察到它会自动续订了。

    Deepseek 回答说它错了,我是对的。为了证明我是对的,它说 Router 里有隐藏的 script 和 schedule。

    /system script print where name~”letsencrypt”

    /system scheduler print where name~”cert”

    但我又试了一下,没发现这两条。在 Mikrotik 问题上,Deepseek 已经在我面前暴露了很多错误。所以,没发现这两条也正常。

    但我相信 /certificate/enable-ssl-certificate 这个命令包娶妻,还包生子。那我就没必要继续研究 auto renew 了,等过60多天再看看。

    新证书直接用于 HTTPS,不需要删除旧证书再加载新证书。

    新证书用在 SSTP,有点小麻烦,可能是 bug:证书更新后 SSTP 显示加载的是新证书,但 VPN 连接时的错误总是说对应的端口没打开。Disable 再 Enable SSTP server 并没有用,必须先把 SSTP server 里的证书换个别的,然后切换回新证书。

    下次证书续订后,估计仍需要我来设置 SSTP server。

  • Grandstream GXV3275 挺鸡肋的

    当初为了和可视 SIP 门禁机可视对讲,我买了几台当时比较稀有的大屏 SIP 话机,其中三台是 Grandstream GXV3275。我想吐槽一下:

    1,bugs 应该很多,比如总是提示 http 自动下载更新失败。好在 fireware 不需要经常更新,我忽略了这消息。

    2,web GUI 那是相当的难看,也不好用。

    3,SIP 账号改动后重新注册,到注册成功,那是相当地慢,有时好几分钟仍显示未注册,以致于我开始怀疑账号错了,东检查西检查的时候,它又突然注册成功了。

    4,接上条,可能注册时,FreePBX 检查了账号密码,认定账号合法就已经注册成功,而 Grandstream GXV3275 仍认为未注册成功,不停尝试注册,FreePBX 认为之后的注册请求都是非法的,被请求若干次后,fail2ban 就把话机的 IP 给禁了(除非事先添在白名单上)。

    谁要是想收了这三台 Grandstream GXV3275 就好了。我觉得下次再挑选 SIP 话机时,手气不会这么差。

  • Contabo 避坑

    别误会,我不是说 Contabo 不好。

    相反,Contabo 是典型德国品质,用得让人放心。

    但是,前几天我写了一篇文章,后来发现消失了。我怀疑有人黑了我的博客,后来发现发布文章的时候恰逢 Contabo 在维护,维护结束后服务器回滚到维护之前。所以,避坑之一,避免在维护期间做事,做了白做。Contabo 确实有提前通知维护时间,但被我无视了。

    避坑之二,别订英国的 Contabo,如果一定要订,也别拿来建 PBX。

  • Contabo and FreePBX

    前几天我写了一篇长文《避坑Contabo》,不知怎么的消失了。不想花时间重新写,但又忍不住不写,毕竟最近两周我花了很多时间在 Contabo 的 VPS 里捣鼓 FreePBX,我就换个角度说一说 Contabo 和 FreePBX。

    去年黑五期间我新购了英国 VPS,用来替换德国 VPS。两周前我开始试用英国 VPS,同时把 FreePBX 从 16 升级到 17。本以为是很简单的一件事,装好后测试一下,发现分机无法接听外线,具体症状是分机响铃正常,按接听键,显示已接听,但外线显示一直在振铃,直到无人接听超时。

    我花了近两周时间才确定是 FreePBX 所在的路由器的问题,也就是说数据中心机房的问题,就想把 VPS 从英国迁回德国,毕竟之前没碰到过这种莫名其妙的问题。

    我担心我的问题不具有普遍性,Contabo 没发现潜在的问题就不愿意帮我迁移。于是我写了一篇长长的邮件,千方百计想证明我碰到的问题不是我这端的问题,是英国机房的问题,既然英国机房找不到问题所在,就帮我迁回德国吧。

    结果,Contabo 短短回了封邮件,告诉我迁移 VPS 可以登录账号自助操作。哎,真是浪费表情。

    顺便提一下,迁回德国后,FreePBX 就一切正常了。可怜我浪费两周时间就得出这么个结论。

  • 消失的 Post

    前几天写的一篇 Post《Contabo 避坑》,今天发现不见了。

    难道有人黑入芳草苑的后台删帖?

    为什么要黑我?

  • Huawei Q2 Pro router review

    2019 年买了华为 Q2 Pro 一母三子电力线路由器,最初想用它取代 Draytek AP910C 实现一个小宾馆内部的无缝无线漫游。我知道 4 个 AP 数量可能不够,但 Q2 Pro 号称最多可以一拖十三,我想第一批试用通过再多加子路由。但 Q2 Pro 的使用体验太差,已买的一母三子成了鸡肋,更别提添加更多的子路由。Q2 Pro 的槽点挺多,我一个个吐。

    首先,这个宾馆环境的电力线是之前的人布的,有个我检查不出的缺陷,其中一层的电力线跟其他楼层的电力线速度只有 30 Mbps 左右,我手头两组前几代的电力线插头都是这个速度。Q2 Pro 号称应用了各种抗干扰的电力线技术,我本指望它能改善宾馆里电力线先天不足,结果它比前辈们表现更糟;而且它在其他电力线插头都有几百兆速率的间隔,竟然只有不到二十兆的速率。

    其次,终端在大楼各层间移动却无法总是接入到最近的 AP,无线漫游是有的,但不是无缝的。而在 Draytek AP910C 上我已经实现了无线漫游,买 Q2 Pro 就是想升级成无缝漫游。这个愿望实现不了,而 Q2 Pro 其他各项功能又无法跟 Draytek AP910C 比拟,所以干脆淘汰了 Q2 Pro。

    再次,Q2 Pro 根本不支持虚拟网,但这不是重点,因为我是事先知道这一点的,并对网络做了重新规划。重点是 Q2 Pro 只能运行在一个直白模式,任何一个非直白的模式就引爆了它的 bugs。具体点说,我原本在 Draytek AP910C 启用了 4 个虚拟网,在宾馆的全覆盖。Q2 Pro 不支持虚拟网,我又想实现无缝无线漫游,所以我综合平衡了一下,除了宾客用的虚拟网必须全覆盖,其他 3 个虚拟网只需要在用到他们的地方放置 AP 就好。于是我计划用 Q2 Pro 作 AP 模式,只需接入宾客用的虚拟网,对 Q2 Pro 来说,它也不必关心这是不是个虚拟网。我关了母路由的 DHCP 服务,把网线插在了 LAN 口而不是 WAN 口。然后问题就来了——母子路由无法同步。最初我想,不同步也没有关系,我先做好其他必要设置,最后再把网线插在 LAN 口,从此不再修改任何设定。哪知我就算如此就将,其中一个子路由还是不配合。我买的是一母双子的原配套装,再外加一个子路由凑成的一母三子。这个非亲生的子路由在母路由没有 WAN 连接时,开机总是忽略原已同步好的设置,恢复出厂设置,也就是开放无密码的 Wi-Fi。这导致我不想在商业环境下使用 Q2 Pro,把它撤到家庭环境。

    第四,就算在家庭环境,远程管理也会是一个必要的功能吧,Q2 Pro 根本不提供 remote web management。要想远程管理,必须得用华为的智慧生活 APP,而这个 APP 也没有囊括 web management 少得可怜的几项功能。

    第五,考虑到 Q2 Pro 可能不是为我这么个 “professional” 设计的产品,那我就用它来管理孩子们的上网时间吧。于是我设置了一个晚上 10 点对孩子们用的终端自动断网。可是有一天晚上过了 10 点,我发现孩子们还抱着电脑跟同学相聊甚欢,我只好直接掐了 Q2 Pro 的网线才让他们意犹未尽地放下电脑。

    自此,我已经对 Q2 Pro 彻底失望。

  • Enable https access to Mikrotik router and eliminate unsecure warning in Chrome

    黑五前入手了一台 Mikrotik CCR1036-12G-4S-EM Cloud Core Router,准备用它取代 DrayTek 2860,迎接千兆网的到来。1gbps 还未普及到我的区域,我只是未雨绸缪了。

    DrayTek 2860 充其量只能是给 home office 和 small business 用的,现在带机量虽有增加,但还不到 50,就有点力不从心,有点小失望。但它这么多年来一直勤勤恳恳,不用怎么重启,我不说它不好,只是现在有更高的要求了。

    即将到来的 1gbps 宽带将是 1gbps 对称的上下行,我非常期待 1gbps 的上行带宽能给 work from home 带来质的飞跃(对比目前的 15mbps)。这对路由器的 VPN 吞吐速率提出了很高的要求,我曾一时也不知道该选什么路由器来做高速率的 VPN 连接,我也不想自建一台 VPN server,担心搞不好被人攻击。我花了很多天在搜索合适的路由器,眼前出现频率较高的是 Netgear AX12。Netgear AX12 毕竟是个家用级的产品,quad core 满足 1gbps 下行是没问题,但能否满足 1gbps 加密上行?指标上没有提及,我也表示怀疑。某天我突发奇想,如果 quad core 不够用,那就找找 octa core。

    Octa core router 的搜索结果中就出现了 Mikrotik CCR1036,尽管它可不止八核,而是 36 核!感谢 Google 成功地将我的关注点带到了 Mikrotik CCR1036。它强悍的性能完全可以满足今后 5 到 10 年的需求,而且它的价格很亲民(与 Cisco 比)。

    好了,于是我下手买了一台 Mikrotik CCR1036-12G-4S-EM。说了一堆废话,无非在强调此路由器的专业性。

    之前我访问 DrayTek 2860 的 https web UI,从来没想过要把浏览器里吓唬初学者的不安全提示给去掉。我不是初学者,我没被吓唬住,也就懒得理会。如今调试专业的路由器,我就萌生一个想法,让我的 Chrome 浏览器不要再出现不专业的不安全提示。

    以下步骤主要借鉴了 https://wiki.mikrotik.com/wiki/Manual:Webfig,但有所改动,否则不能消除 Chrome 的不安全提示。

    1,生成一个根证书并自签

    /certificate
add name=LocalCA common-name=LocalCA country=UK key-usage=key-cert-sign,crl-sign 
sign LocalCA

    注意:生成证书时一定要加国别,否则 Chrome 拒绝导入这个根证书(导入显示成功,但实际没有导入)

    2,生成 WebFig 用的 SSL 证书并由刚发行的根证书签发它

    /certificate
add name=Webfig common-name=webfig.local subject-alt-name=DNS:webfig.local
sign Webfig ca=LocalCA

    注意:如果 subject-alt-name 仅写 DNS:webfig,浏览器仍会认为不安全,必须是 FQDN 或 IP address。

    3,启用刚生成的 Webfig 证书

    /ip service
set www-ssl certificate=Webfig disabled=no

    注意:若遇到 www-ssl 启动失败,其中一个可能是端口冲突,默认端口 443 被 SSTP 服务器占用。SSTP 服务器在 /interface/sstp-server/server 调整。

    4,添一个 static DNS,将 webfig.local 解析到路由器的 IP address

    /ip dns static
add name=webfig.local type=A address=192.168.88.1
/ip dns
set allow-remote-requests=yes

    注意:仅在内网用路由器作 primary DNS(必须启用 allow remote requests,否则路由器不响应静态解析请求)可行。在外网就得用 hosts 文件做个指向。

    5,用 Chrome 访问 https://webfig.local,首次访问当然会被提示非安全连接,忽略之继续访问,然后点地址栏左边的小图标,查看证书,选中根证书,保存到本地硬盘。然后在 Chrome 设置里管理证书,将刚才保存的证书导入到受信任的根证书类。

    6,重启 Chrome 再次访问 https://webfig.local,就不再有恼人的提示了。

  • Solve Wi-Fi refuse to connect

    刚才遇到一个奇葩问题:Wi-Fi 路由器和终端都没有改动过设置,也没有超载荷,原来能接入的终端都被拒绝,重启路由器也没用,重启终端更没用。

    我以前遇到过拒绝接入,我认为是路由器部分死机引起,重启路由器后都能接入。这次遇到在 Virgin Media Hub3 上,所有手机不能接入 Master SSID,却能接入 Guest SSID,重启路由器 N 次都没有用,最后登录路由器,随意改了一点设置,才把 Wi-Fi 从假死状态救活。

    我认为这是路由器的某个 bug,该症状很难被复制,我的解决方案也不具有代表性,我仅在此做个笔记,提示此类 bug 的存在。

  • Huawei & me

    刚又买了一台华为设备,却第一次买她的电脑。

    Huawei laptop order
    Huawei laptop order

    认识华为,始于 Mate 7。从此没换过其他手机品牌。在我手上所有的华为手机,从来没有在我想主动升级前出现故障,或变慢,或充不了电。

    我选择华为,是因为她的产品价值,我觉得跟爱国主义情怀毫无关系。£2000 的套装,年末价 £1270,让我深深感受到了一个字——值。

    如果只是单纯的爱国主义情怀,我应该在中国下单,不用给英国政府交 VAT。但中国方面促销力度并不大,我何必折腾。

    但是,如果华为消费的是用户的情怀,那她是没有前途的。一个真正的好产品,必须要有她自身的价值。所以,我这样的用户才是华为真正需要的支持者。哈,我自封的,华为可能不这么想,因为对于她目前想主推的 5G 基站,我买不起;5G 终端,我也没有任何想买的意思。

    个人电脑品牌中,有几个被我列为不再受信赖的品牌。Lenovo 是一个,刚收购 IBM 那阵是不错的,但自从不能使用 ThinkPad 商标后,质量堪忧,买三台都没使用到想淘汰的时候就坏了,似乎品控随着 ThinkPad 而消失。

  • Solved “31.41 Missing or Defective Cartridge Error” for Lexmark C746dn printer

    最近我碰到的设备故障多到来不及处理,它们就处于瘫痪状态,等我有空了慢慢修。好在设备多,坏几个不至于工作无着,但毕竟影响效率。今天修好一台打印机故障,还是令人高兴。

    这是一台 Lexmark C746dn 彩色激光打印机,开机后显示 “31.41 Missing or Defective Cartridge Error”。在 Web UI 显示不出黑色碳粉盒信息,我想故障出在黑色碳粉盒上。我多次取出、再装回黑色碳粉盒,都无法让这个 31.41 错误消失。

    无数次 Google 之后,终于发现有人提到 Cartridge Contact Replacement Cables (FRU part number 41X0444)。这个信息很有用,我已来不及看用户手册查 Cartridge Contact Cable 在哪儿,只是搜索了一下它大致长什么样,然后打开粉仓,把我目光都能看到的长得有点像 Cartridge Contact Cable 的线都摸了一遍,然后关好粉仓,31.41 错误消失了!等待机器自检的过程中,我还在想,要不要拿螺丝刀开后盖检查主板接线呢。完全不用!正常如往常!