Как реагирует компания курильщика? Или просто невнимательная компания? Она бежит оплачивать счет! Потом разберемся, главное, чтобы ЭДО не отключили... Мы реагируем иначе:

Если диалог заходит вот в такой вот тупик, Альмира Абрековна просто исчезает с радаров. Но эта история - вовсе не про Альмиру Абрековну, как вам могло показаться. Она про компанию "Контур". Хотя Альмира Абрековна, конечно, послужила своего рода проводником в этот чудесный мир.

Итак, учетная запись в ЭДО "Контура", хоть и без нашего участия, хоть и насильственным путем, но у нас появилась. И наши контрагенты стали в нее слать приглашения / документы, и ждать обратной связи. А мы ни сном, ни духом (или ни ухом, ни рылом), куда и что они отправили - в нашем ЭДО ничего нет! (кстати, мы используем "Калуга-Астрал", который живет прямо внутри 1С, и не имеет никаких отдельных учетных записей на левых сайтах - очень удобно и кошерно, с головы до пят; не реклама, а честное непредвзятое мнение)

Что кажется уместным предпринять в таком случае? Обратиться в "Контур" с просьбой закрыть учетную запись же! Скромный "Контур", видимо, рулится зумерами, которые не могут в созвоны, поэтому на их сайте нет никаких номеров телефона: https://www.diadoc.ru/support
Зато есть заказ обратного звонка и онлайн-чат. Постучимся:

...и будем отфутболены. Потому что "Контур" не имеет ничего против Альмиры Абрековны, которая против нашей воли нас регистрирует и выставляет счета на псевдопродление псевдосервиса, но абсолютно ни за что не согласен уже по нашей воле нас из сервиса удалить:

...а в конце, как видите, вообще вводит нас в очень странный цикл про свою щедрость.

- Отключите меня.
- Подключение и входящие бесплатно!

Заказ обратного звонка тоже сработал, причем перезвонили буквально через пару минут. Но говорилка на том конце провода лишь продублировала информацию из чата: "Не можем, не знаем, не умеем, войдите, заблокируйте, отключите, вот инструкция на 266 листов" - начисто игнорируя доводы, что у нас даже доступа в ЛК нет и никогда не было.

Итого, что мы имеем:

• мелкомошенническая схема с принудительным насильственным подписанием рандомных компаний
• мелкомошенническая схема с засылом "левых" счетов (пару лет назад в ТГ-пабликах мелькала история, как какой-то чувак годами рассылал в крупные компании, типа Гугла, Микрософта и Амазона, счета и акты за какие-то выдуманные услуги, и компании их просто оплачивали, тем самым подмогнув скопить ему миллионы на старость - вот вам отличный пример, как это работает)
• полная импотентность службы поддержки, которая отвечает мантрами про "невозможность удалить учетную запись"
• абсолютное равнодушие большого и жирного "Контура" (их прибыль за 2024-й год составила, на минуточку, 4.9 млрд. рублей) к раскрытию этого схематоза. Еще бы не: иначе такая прибыль бы не накопилась...

"Контур", ты правда думаешь, что после такого мы будем тобой пользоваться? Ответ посмотри у себя на воротнике.

Мы взяли для примера жирненький коммутатор Dahua DH-AS5500-24GT4XF-370, на борту которого есть консольные интерфейсы microUSB и RJ45.

Шаг 1-й: подключаемся к консоли

Нам понадобится консольный кабель. Рекомендуем вот этот, кстати.

А еще - программный эмулятор терминала (не то чтобы рекомендация, но совет, исходя из собственных привычек - SecureCRT).

Запускаем SecureCRT, настраиваем следующим образом:

После подключения жмем Ctrl-C и оказываемся в CLI:

Шаг 2-й: включаем HTTP и HTTPS

Переходим в режим конфигурирования командой system-view и активируем http и https:

Для проверки можно использовать команду display ip http:

Шаг 3-й: задаем коммутатору IP-адрес

Теперь зададим VLAN-интерфейсу (в который по умолчанию объединены все порты коммутатора) IP-адрес:

Шаг 4-й: создаем пользователя с правом управления через web

Создадим пользователя admin с паролем Admin12345!, разрешим ему подключаться по HTTP и назначим роль админа:

Для порядка можно закоммитить конфигурацию:

Шаг 5-й: пожинаем плоды трудов своих

И теперь наконец-то можно подключиться к коммутатору через web-интерфейс и продолжить его конфигурирование в GUI:

В общем, ничего сложного. CLI у Dahua - точная копия HPE, Huawei и иже с ними. И это добре!

Всегда ваши, Treolink.ru

• Вступление
• Первые робкие шаги и решение ошибки "SSL certificate problem"
• Решаем ошибку ubnt-upgrade: [error] No uImage (#2)
• Переезжаем в синтаксис CLI 2.x
• А можно ли было всего этого избежать?

Дерзкое вступление

Каждый российский Ubiquiti-кид знает, что современный Ubiquiti штатно и богоугодно обновляется только через web-интерфейс, причем только в однокнопочном режиме («Обновись!»), не предполагающем даже подсовывание файла прошивки, а взаимодействуя исключительно с официальным сайтом. И для пользователей из РФ это проблема, потому что по состоянию на осень 2024 года, сайт Ubiquiti банит российские IP. Боль? Боль.

Автору же довелось испытать ее в тройном размере, потому что обновлять пришлось UniFi Dream Machine с очень старой прошивкой — 1.11.4 — на борту. Об этом и будет этот мини-рассказ, который заодно будет содержать в себе парочку важных ключевых вхождений с ошибками, по которым автор безуспешно тыкался по гуглам, пока в итоге не задебажил все сам.

Первые робкие шаги и решение ошибки "SSL certificate problem"

В первом абзаце мы уже выяснили, что обновиться штатно из РФ нельзя, а значит нам придется провалиться в недра CLI. Автор наивно решил, что обойдется малой кровью: скачает свежую прошивку (на момент написания сей заметки — 4.0.21), натравит девайс на нее и получит обновленное ПО. Спойлер: он ошибался…

Но пока мы об этом ничего не знаем и решаем первый квест: как скачать и загрузить прошивку на девайс?

С ответом на первую часть - как скачать - все более-менее понятно: используем VPN. А вот загрузить на девайс - уже несколько сложнее. В некоем "раньше" мы использовали протокол SCP. С Dream Machine такое не проканало - она не хочет принимать SCP-подключения. А значит нам остаются wget или curl, которые, в свою очередь, тянут за собой необходимость выложить файлы прошивок на web-сервер. Для рядовых пользователей в этих целях можно предложить использовать что-то вроде TinyWeb Server от Ritlabs, но автор пошел путем самурая, решив выложить прошивки на наш сайт - treolink.ru. Который падла подписан SSL-сертификатом и принимает только https-подключения. А значит wget нам уже не подходит. Но у нас ведь есть curl?...

Итак, наша UDM базово запущена, живет на адресе 192.168.1.1, на ней включена галочка, разрешающая SSH-подключения. Прошивка скачана и выложена на сайт treolink.ru под именем fwupdate.bin. Начинаем парад.

Подключаемся к UDM через SSH:

ssh root@192.168.1.1

Загружаем прошивку на устройство:

curl -k -o /mnt/data/fwupdate.bin https://treolink.ru/fwupdate.bin

ключ -k игнорирует проверку SSL-сертификата сервера, который на сайтах в .ru-зоне вряд ли будет пройдена, выдавая ошибку:

(и как это обойти, стало понятно далеко не сразу)

Путь /mnt/data должен существовать на устройстве. Если версия вашего системного ПО UDM уже перевалила за 2.х, то сразу загружайте файлы в /home.

Успешный успех в выполнении команды будет выглядеть примерно следующим образом:

Теперь попробуем установить новую прошивку на устройство командой:

ubnt-upgrade /mnt/data/fwupdate.bin

И эпично отлетаем с ошибкой:

Решаем ошибку ubnt-upgrade: [error] No uImage (#2)

Гугл настолько ничего не знает про эту ошибку, что даже пытается вас уговорить изменить запрос на "No Image", предполагая, что буква 'u' - это опечатка.

Пройдя путь поисков и страданий, автор выяснил, что обновляться с 1.11 сразу на 4.х Ubiquiti не хочет, и ошибка связана именно с тем, что мы пытаемся совершить фазовый переход через несколько версий ПО сразу на актуальное. Так не получится. Обновляться придется последовательно.

Методом проб и ошибок, был найден путь обновлений, который выглядит, мягко говоря, не самым очевидным образом:

• 1.11.4 обновляем до 1.12.33
• 1.12.33 обновляем до 1.12.38
• 1.12.38 обновляем до 2.5.17
• 2.5.17 обновляем до 3.1.15
• и уже 3.1.15 - на 4.0.21

Скачиваем и выкладываем на web-сервер 1.12.33 и загружаем ее на устройство:

curl -k -o /mnt/data/udm-1.12.33.bin https://treolink.ru/udm-1.12.33.bin

Запускаем установку:

ubnt-upgrade /mnt/data/udm-1.12.33.bin

Успешный успех проявит себя таким образом:

Устройство перезагрузится, после чего надо будет зайти в его настройки и снова включить разрешение на SSH-подключения.

Точно таким же образом обновляемся на 1.12.38, а потом на 2.5.17 (не забываем каждый раз разрешать SSH в веб-интерфейсе UDM; да, он каждый раз сбрасывается).

Переезжаем в синтаксис CLI 2.x

Переехав на 2.5.17, у нас с вами поменяется синтаксис в CLI (а у автора подспудно закэшировались fingerprint'ы RSA-ключа на хосте, и пришлось выполнить команду ssh-keygen -R 192.168.1.1, потому что SSH не давал подключаться к устройству). Также пропадет папка /mnt/data, поэтому скачивать следующую прошивку будем уже в /home:

curl -k -o /home/udm-3.1.15.bin https://treolink.ru/udm-3.1.15.bin

И обновление мы теперь тоже будем выполнять по-новому:

ubnt-systool fwupdate /home/udm-3.1.15.bin

Успешный успех будет выглядеть так:

Ну и финальный аккорд - точно также обновляемся на 4.0.21. После последней перезагрузки чекаем результат командой info:

Победа.

А можно ли было всего этого избежать?

А можно было. На будущее автор позапридумал держать под рукой роутер Mikrotik с настроенным VPN куда-нибудь в Европы, чтобы выпускать все эти Ubiquiti в свет строго через зарубежные IP. Но и тут обнаружился нюанс: устройства с прошивками 2-летней давности хоть убей не соглашаются обновляться через web. А через интерфейс командной строки все затруднения и ошибки вылетают также неизбежно, кроме, разве что, ошибки SSL-сертификата, потому что девайс можно сразу же травить на официальный сайт.

В целом же процесс обновления Ubiquiti сейчас - не самый простой, приятный и тривиальный. "Лишний повод не связываться," - подумал про себя автор.

P.S. Прошивки живут тут: https://ui.com/download/releases/firmware