Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Проверяем IPS??, UniFi Network
 
#1
19.03.2018 10:18:00
Привет! Есть ли сайты, которые могут сработать на IPS? У меня он включён уже целый день, настроено несколько пробросов портов, включая веб-сервер, и он ни разу не сработал. Хочется получить хоть одно уведомление! 😀
 
 
 
#2
26.10.2018 19:54:00
Я попробовал вот это:  
pi@pi:~ $ sudo keytool -trustcacerts \  
    -keystore $JAVA_HOME/jre/lib/security/cacerts \  
    -storepass changeit \  
    -noprompt \  
    -importcert \  
    -file /etc/letsencrypt/lets-encrypt-x3-cross-signed.pem  

Сертификат добавился в хранилище, потом перезапустил IPS, но получил ту же ошибку:  
[2018-10-26 15:52:58,783] <inform-159> ERROR ips - не удалось создать UTM токены
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации до запрашиваемой цели  

Что я делаю не так?
 
 
 
#3
26.10.2018 16:40:00
Попробуй вот этот https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem.txt
 
 
 
#4
26.10.2018 16:35:00
Я искал именно файл chain.pem, и это меня сбивало с толку. Ты хочешь сказать, что я просто беру файл с https://letsencrypt.org/certs/isrgrootx1.pem.txt вместо chain.pem в команде:  
$ keytool -trustcacerts \  
   -keystore $JAVA_HOME/jre/lib/security/cacerts \  
   -storepass changeit \  
   -noprompt \  
   -importcert \  
   -file /etc/letsencrypt/live/hostname.com/chain.pem  
и меняю последнюю строку на  
-file /path/to/isrgrootx1.pem?
 
 
 
#5
26.10.2018 16:28:00
Сертификаты letsencrypt можно найти на https://letsencrypt.org/certificates/
 
 
 
#6
27.11.2018 03:52:00
Я так и не смог нормально настроить IPS на контроллере/USG при работе на Raspbian. Установил Ubuntu MATE 16.04 для Pi, и всё заработало без каких-либо необычных настроек. Я не менял Java и не обновлял сертификаты. При этом стоит учесть, что нагрузка на пропускную способность USG 3P слишком велика, поэтому запуск IDS/IPS на нём нецелесообразен.
 
 
 
#7
29.10.2018 14:27:00
Привет, Торстен! Похоже, ты хотел обратиться к другому пользователю. Я тоже юнифи-пользователь и админ, но экспертом себя не считаю. Спасибо!
 
 
 
#8
27.10.2018 11:00:00
Пока не могу ответить, сейчас нет доступа, но @kowen тоже активный пользователь здесь. Если у тебя установлено всего немного и всё зависит от твоей текущей настройки, это должно быть возможно. Пакет для UPS не должен стать проблемой.
 
 
 
#9
26.10.2018 23:39:00
Спасибо, @TVT73. Я, пожалуй, попробую. У меня на Raspberry Pi уже работает несколько других программ, например монитор UPS, так что я пытаюсь заставить это дело работать. Раньше не слышал про unifi-pi, ты знаешь, на какой ОС он основан? Это основано на Raspbian?
 
 
 
#10
26.10.2018 23:32:00
Я не уверен, почему сертификат от let’s encrypt может решить эти проблемы. На моём контроллере unifi под Ubuntu 16.04 у меня вообще нет сертификата, я всё ещё использую самоподписанный. IPS, вроде, работает, хотя я не уверен, действительно ли он блокирует вредоносный код и сайты. Но ещё один момент: для использования с Raspberry Pi есть очень классный проект unifi-pi. Я пользуюсь им на своём raspi 3, и всё работает отлично, может даже чуть лучше, чем на Cloud Key Gen1. Стоит попробовать.
 
 
 
#11
26.10.2018 22:52:00
Я перезагрузил сам Пи, чтобы убедиться, что java, контроллер и всё остальное перезапустилось. К сожалению, та же самая ошибка. Спасибо, что не сдаёшься и помогаешь мне. Честно говоря, не знаю, что делать дальше. Я пытался заново скачать и установить сертификат, но получал сообщение «keytool error: java.lang.Exception: Certificate not imported, alias <mykey> already exists». Значит, сертификаты там уже есть. Есть ли ещё какие-то советы или что я мог упустить? Большое спасибо за помощь!
 
 
 
#12
26.10.2018 20:38:00
Можешь попробовать перезапустить unifi? /etc/init.d/unifi stop /etc/init.d/unifi start и попробовать ещё раз. Перезапустить IPS из контроллера?
 
 
 
#13
26.10.2018 16:20:00
Спасибо, @UBNT-Marcus.

У меня на всех установках Raspbian Stretch нет файла chain.pem. Это сертификат, который можно скачать у Let’s Encrypt, или его надо самому создавать? (Это только для моего контроллера, чтобы использовать IDS, я не хожу сайты и не запускаю другие веб-серверы на своем Raspberry Pi.)
 
 
 
#14
26.10.2018 15:51:00
Это взято с https://community.letsencrypt.org/t/will-the-cross-root-cover-trust-by-the-default-list-in-the-jdk-jre/134/13
 
 
 
#15
26.10.2018 15:50:00
Эта ссылка https://stackoverflow.com/questions/34110426/does-java-support-lets-encrypt-certificates/35454903#35454903 показывает, как импортировать цепочку безопасности letsencrypt, что «решает» проблему, даже на Raspberry Pi с jre 1.8.0_65.
 
 
 
#16
26.10.2018 03:00:00
У меня установлена актуальная версия Raspbian Stretch, так как я регулярно запускаю apt-get. В системе ядро версии 4.14. Как проверить или обновить сертификаты? У меня есть ещё один Pi с недавней полной установкой Stretch, и там тоже отсутствует каталог /etc/letsencrypt. Я выполнил sudo apt-get install letsencrypt, и теперь каталог /etc/letsencrypt появился, но он пустой.
 
 
 
#17
26.10.2018 02:46:00
Согласно одному из сообщений на наших форумах, эта проблема исправлена в Raspbian (Stretch Lite 4.14). Она связана с версией Java, в которой отсутствует сертификат для Letsencrypt, используемый на ips cloud.
 
 
 
#18
26.10.2018 02:23:00
При поиске по всему server.log единственное сообщение, которое я получаю:  
[2018-10-25 22:20:01,186] <inform-125> ERROR ips - не удалось создать UTM токены sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: не удалось найти действительный путь сертификации до запрашиваемой цели.
И это происходит сразу после включения IDS. Ошибок IPS в server.log нет при отключённом IDS.  
Это помогает и то, что вы хотели, чтобы я сделал?
 
 
 
#19
26.10.2018 01:47:00
Я хочу, чтобы ты сделал tail -f server.log | grep ips и отключил ips/ids через контроллер, подождал 5 минут и снова включил. Причина 5 минут в том, что версия 4.4.29 может тяжело ложиться на usg3p. Мы сделали улучшения, которые сейчас тестируются на наших бета-форумах. Tail должен выдать ошибку или нет после того, как ты снова включишь, вот что я хочу увидеть.
 
 
 
#20
26.10.2018 01:23:00
Я не совсем понимаю, вы просто просите меня отключить IPS через контроллер и подождать 5 минут? Затем включить его, выполнить grep ips в server.log и сообщить, что там написано?
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)