Сразу оговорюсь некоторые пункты в зависимости от модели и версии прошивки будут находится в разных местах. Какие-то делать нужно, а какие-то иногда включены по-умолчанию.

1. Для начла подготовим USB накопитель.

На USB-накопителях, подключаемых к интернет-центру Keenetic можно использовать файловую систему EXT4. Данная возможность появилась с версии KeeneticOS 2.07.

Для работы накопителей с файловой системой EXT4 в роутере Keenetic предварительно нужно установить компонент "Файловая система Ext". Сделать это можно на странице "Общие настройки" в разделе "Обновления и компоненты", нажав на "Изменить набор компонентов".

2. В роутере Keenetic установите нужные компоненты OPKG. Основным и обязательным является компонент "Поддержка открытых пакетов".

В веб-интерфейсе Keenetic предыдущих поколений, с версией KeeneticOS до 2.11:

В моделях Keenetic с версией KeeneticOS 2.12 и выше:

3. Теперь нужно скачать репозиторий системы пакетов Entware соответствующий архитектуре нашего роутера.

4. В нашем примере рассмотрим установку архива aarch64 .

Подключите уже подготовленный накопитель c файловой системой EXT4 к USB-порту роутера. Диск должен отобразиться на странице "Приложения" в разделе "Диски и принтеры".

5. Проверим, что на роутере включен сетевой доступ к USB накопителю

В Windows 10/11 для осуществления "Анонимного доступа" возможно придется включить Небезопасные гостевые входы.

6. На компьютере с помощью файлового менеджера подключитесь к диску по сети (в ОС Windows можно использовать Проводник). Создайте в корневой папке USB накопителя папку "install" и загрузите в нее ранее скачанный файл дистрибутива "OPKG". (адрес 192.168.1.1 заменяем на соответствующий вашему роутеру)

Входим под Гостевой учетной записью (для этого и нужен был Анонимный доступ)

7. В веб-интерфейсе роутера перейдите на страницу OPKG для выбора накопителя и добавления скрипта initrc.

Если у вас Keenetic с версией KeeneticOS 2.12 и выше, перейдите к пункту 8 данной инструкции.

Для Keenetic предыдущих поколений, с версией KeeneticOS до 2.11, перейдите в меню Приложения на вкладку OPKG и выполните следующие настройки:

• Включите менеджер пакетов OPKG
• В поле "Использовать накопитель" выберите диск OPKG (метка EXT4-раздела)

Нажмите Применить.

8. Для Keenetic с версией KeeneticOS 2.12 и выше, перейдите на страницу OPKG и выполните следующие настройки:

• В поле "Накопитель" выберите диск OPKG (метка EXT4-раздела)

Нажмите Сохранить.

9. Перейдите на страницу "Диагностика" и откройте "Системный журнал" роутера. В нем вы должны увидеть следующие записи при установке системы пакетов Entware:

I [May 24 20:36:35] ndm: Opkg::Manager: unmount existing /opt disk: OPKG:/.
I [May 24 20:36:37] dropbear[31154]: Early exit: Terminated by signal
I [May 24 20:36:37] ndm: Opkg::Manager: disk unmounted.
I [May 24 20:36:37] ndm: Opkg::Manager: disk is set to: storage:/.
I [May 24 20:36:37] ndm: Opkg::Manager: /storage mounted to /storage.
I [May 24 20:36:37] ndm: Opkg::Manager: /storage mounted to /opt/.​
I [May 24 20:36:37] npkg: inflating "mipsel-installer.tar.gz".
I [May 24 20:36:43] ndm: Opkg::Manager: /storage initialized.​
E [May 24 20:36:43] ndm: Opkg::Manager: invalid initrc "/opt/etc/init.d/rc.unslung": no such file or directory, trying /opt/etc/init.d/.
I [May 24 20:36:43] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:36:43] ndm: Core::Session: client disconnected.
I [May 24 20:36:43] installer: [1/5] Начало установки системы пакетов "Entware"...
I [May 24 20:36:43] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:36:45] ndm: Core::Session: client disconnected.
I [May 24 20:36:45] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:36:47] ndm: Core::Session: client disconnected.
I [May 24 20:36:47] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:36:49] ndm: Core::Session: client disconnected.
I [May 24 20:36:49] installer: Info: Раздел с UBIFS! (!не тестировалось!)
I [May 24 20:36:49] installer: При возникновении проблем, используйте внешний накопитель с файловой системой ext2/ext3/ext4.
I [May 24 20:36:49] installer: Info: "ping google.com"...
I [May 24 20:36:49] ndm: Opkg::Manager: /opt/etc/init.d/doinstall: installer: Info: "ping google.com"...
I [May 24 20:36:51] installer: Info: "ping google.com" ..... OK
I [May 24 20:36:52] installer: Info: "ping bin.entware.net"...
I [May 24 20:36:52] ndm: Opkg::Manager: /opt/etc/init.d/doinstall: installer: Info: "ping bin.entware.net"...
I [May 24 20:36:54] installer: Info: "ping bin.entware.net" ..... OK
I [May 24 20:36:55] installer: Info: Создание каталогов...
I [May 24 20:36:55] installer: [2/5] Загрузка и установка основных пакетов...
I [May 24 20:36:55] installer: Info: Устанавливается пакет "libgcc"...
I [May 24 20:36:57] installer: Info: Пакет "libgcc" установлен.
I [May 24 20:36:58] installer: Info: Устанавливается пакет "libc"...
I [May 24 20:37:01] installer: Info: Пакет "libc" установлен.
I [May 24 20:37:02] installer: Info: Устанавливается пакет "libpthread"...
I [May 24 20:37:04] installer: Info: Пакет "libpthread" установлен.
I [May 24 20:37:05] installer: Info: Устанавливается пакет "librt"...
I [May 24 20:37:06] installer: Info: Пакет "librt" установлен.
I [May 24 20:37:07] installer: Info: Устанавливается пакет "entware-release"...
I [May 24 20:37:08] installer: Info: Пакет "entware-release" установлен.
I [May 24 20:37:09] installer: Info: Устанавливается пакет "findutils"...
I [May 24 20:37:11] installer: Info: Пакет "findutils" установлен.
I [May 24 20:37:12] installer: Info: Устанавливается пакет "grep"...
I [May 24 20:37:14] installer: Info: Пакет "grep" установлен.
I [May 24 20:37:15] installer: Info: Устанавливается пакет "ldconfig"...
I [May 24 20:37:17] installer: Info: Пакет "ldconfig" установлен.
I [May 24 20:37:18] installer: Info: Устанавливается пакет "locales"...
I [May 24 20:37:20] installer: Info: Пакет "locales" установлен.
I [May 24 20:37:21] installer: Info: Устанавливается пакет "ndmq"...
I [May 24 20:37:23] installer: Info: Пакет "ndmq" установлен.
I [May 24 20:37:24] installer: Info: Устанавливается пакет "opkg"...
I [May 24 20:37:27] installer: Info: Пакет "opkg" установлен.
I [May 24 20:37:28] installer: Info: Устанавливается пакет "zoneinfo-asia"...
I [May 24 20:37:29] installer: Info: Пакет "zoneinfo-asia" установлен.
I [May 24 20:37:30] installer: Info: Устанавливается пакет "zoneinfo-europe"...
I [May 24 20:37:32] installer: Info: Пакет "zoneinfo-europe" установлен.
I [May 24 20:37:33] installer: Info: Устанавливается пакет "opt-ndmsv2"...
I [May 24 20:37:35] installer: Info: Пакет "opt-ndmsv2" установлен.
I [May 24 20:37:36] installer: Info: Устанавливается пакет "dropbear"...
I [May 24 20:37:38] installer: Info: Пакет "dropbear" установлен.
I [May 24 20:37:39] installer: Info: Устанавливается пакет "poorbox"...
I [May 24 20:37:41] installer: Info: Пакет "poorbox" установлен.
I [May 24 20:37:42] installer: Info: Устанавливается пакет "busybox"...
I [May 24 20:37:48] installer: Info: Пакет "busybox" установлен.
I [May 24 20:37:49] installer: Info: Установка пакетов прошла успешно!
I [May 24 20:37:49] installer: [3/5] Генерация SSH-ключей...
I [May 24 20:37:49] installer: Info: Генерируется ключ "rsa"...
I [May 24 20:37:54] installer: Info: Ключ "rsa" создан.
I [May 24 20:37:55] installer: Info: Генерируется ключ "ecdsa"...
I [May 24 20:37:55] installer: Info: Ключ "ecdsa" создан.
I [May 24 20:37:56] installer: Info: Генерируется ключ "ed25519"...
I [May 24 20:37:56] installer: Info: Ключ "ed25519" создан.
I [May 24 20:37:57] installer: [4/5] Настройка сценария запуска, установка часового пояса и запуск "dropbear"...
I [May 24 20:37:57] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:37:57] ndm: Core::Session: client disconnected.
I [May 24 20:37:57] dropbear[17854]: Running in background
I [May 24 20:37:57] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:37:57] ndm: Opkg::Manager: configured init script: "/opt/etc/init.d/rc.unslung".
I [May 24 20:37:57] ndm: Core::Session: client disconnected.
I [May 24 20:37:57] ndm: Core::Server: started Session /var/run/ndm.core.socket.
I [May 24 20:37:57] ndm: Core::System::Configuration: saving (ndmq/ci).
I [May 24 20:37:57] ndm: Core::Session: client disconnected.
I [May 24 20:37:57] installer: Можно открыть SSH-сессию для соединения с 
   устройством (логин - root, пароль - keenetic, порт - 222).
I [May 24 20:37:57] installer: [5/5] Установка системы пакетов "Entware" 
   завершена! Не забудьте сменить пароль и номер порта

10. Скачайте терминальную программу Putty для работы с протоколами SSH и Telnet.

11. Запустите Putty, выберите тип подключения SSH, впишите IP-адрес роутера (по умолчанию 192.168.1.1), укажите 222-й порт и нажмите кнопку Open. (т.к. у меня был включен SSH у меня порт 222 у вас может быть 22 смотрите логи журнала)

Подтвердите добавление ключа безопасности в кэш программы Putty для продолжения установки соединения.

Для авторизации введите:

login as: root
root@192.168.1.1's password: keenetic

Можно установить свой пароль. Для этого введите команду passwd:

# passwd

12. При успешной авторизации вы окажетесь в оболочке BusyBox v1.27.2 () built-in shell (ash). Теперь нужно обновить opkg-пакет, для этого введите команду opkg update:

# opkg update

13. Далее настроим нужный нам тип соединения до сервера, я буду использовать Wireguard. Чтоб не настраивать самому я загружу сразу готовый конфиг сгенерированный на сервере.

сам конфиг имеет следующий вид

14. Далее настраивается сама выборочная маршрутизация. Решение основано на немного допиленной мелкой утилите ipset-dns. Прошивка будет обращаться к ней для разрешения определённого доменного имени из пользовательского перечня, а та, в свою очередь, будет складывать результаты работы в отдельный набор ip-адресов. Далее этот набор используется для выборочного роутинга в VPN-соединение.

Установим необходимый пакет через Putty путем ввода команды:

# opkg install http://bin.entware.net/mipselsf-k3.4/test/ipset-dns-keenetic_0.2-1_all.ipk

Для настройки вам понадобится имя и подсеть VPN-интерфейса. Их можно увидеть в выводе команды ip addr. В примере это nwg0 и 172.16.81.5/32:

# ip addr

Внесите эти два параметра любым удобным способом в /opt/etc/bypass.conf по имеющемуся примеру в переменные VPN_NAME и VPN_SUBNET (я использовал редактор vi для записи нажимаем Esc и вводим ":w" для выхода вводим ":q"):

vi /opt/etc/bypass.conf

После чего решение готово к использованию. Запустите утилиту ipset-dns или просто перегрузите роутер:

/opt/etc/init.d/S52ipset-dns start

15. Список ресурсов для открытия через VPN-соединение удобно вести на странице Сетевые правила → Интернет фильтры → Настройка DNS. Пример добавления домена intel.com вместе с субдоменами:

16. Для добавления большого количества записей удобнее это сделать через консоль роутера. Подключиться к CLI роутера по SSH (именно к роутеру, а не OPKG) можно аналогично (11) пункту, разве что в Putty мы указываем 192.168.1.1 и 22 порт (предварительно необходимо на роутере включить доступ по SSH). Для авторизации используется логин и пароль Web панели роутера (admin и ваш пароль). О том что вы находитесь в CLI свидетельствует надпись "(config)>":

17. Аналог действий из пункта (15) выглядит следующим образом (можно заранее подготовить список доменов и просто вставить этот список в Putty помните вы ограничены 64-ью записями)

ip name-server 192.168.1.1:5353 intel.com

Для сохранения настроек вводим команду:

(config)> system configuration save

Для выхода из интерфейса командной строки (CLI) используйте команду:

(config)> exit

Установка на OPKG Entware в раздел с файловой системой роутера

Начиная с версии 3.7.x для некоторых актуальных моделей Keenetic (KN-xxxx) появилась возможность записывать OPKG Entware в раздел с файловой системой UBIFS флэш-памяти NAND роутера, т.е. на встроенную память роутера.

Действия делаются аналогичные выше, по этому я буду рассматривать их кратко:

На странице "Приложения" в разделе "Диски и принтеры" нажмите на "Встроенное хранилище" и затем на встроенном разделе storage создайте папку install:

Так же в новых прошивках появилась возможность создать папку и загрузить файл на прямую из Web панели

А вот дальше есть отличия. Перед установкой нам необходимо подключиться к (CLI) роутера (16) и выбирать системный раздел storage:/ для установки OPKG Entware:

(config)> opkg disk storage:/
(config)> system configuration save
(config)> exit

или

(config)> opkg disk storage:
(config)> system configuration save
(config)> exit

Так же скорее всего можно сделать из Web панели

В логе мы должны увидеть те же записи что и в (9)

Проверить доступ в OPKG можно не выходя из CLI:

(config)> exec sh
BusyBox v1.33.0 () built-in shell (ash)
/#

Меняем пароль для root пользователя (по умолчанию логин root, пароль keenetic):

/ # passwd root
Changing password for root
New password:
Bad password: too weak
Retype password:
passwd: password for root changed by root

Пароль изменен, обновляем систему:

/ # opkg update
Downloading http://bin.entware.net/mipselsf-k3.4/Packages.gz
Updated list of available packages in /opt/var/opkg-lists/entware
Downloading http://bin.entware.net/mipselsf-k3.4/keenetic/Packages.gz
Updated list of available packages in /opt/var/opkg-lists/keendev
/ # opkg upgrade

Теперь можно настраивать VPN и устанавливать нужный opkg-пакет пункт (13) и далее...

(config)> no opkg disk
Opkg::Manager: Disk is unset.

(config)> no system mount storage:
Core::FileSystem::Repository: "storage:" unmounted.

(config)> erase storage:
Core::FileSystem::Repository: "storage:" erased.

Отключить OPKG из Web интерфейса можно, но форматировать внутренний накопитель можно только из CLI

На этом настройка закончена!

Для написания статьи использовались следующие ресурсы:

https://help.keenetic.com/hc/ru/articles/115005875145-Использование-файловой-системы-EXT4-на-USB-накопителях

https://help.keenetic.com/hc/ru/articles/360021214160-Установка-системы-пакетов-репозитория-Entware-на-USB-накопитель

https://forum.keenetic.ru/topic/4299-entware/

https://forum.keenetic.ru/topic/16257-ipset-dns-для-выборочного-роутинга/

https://help.keenetic.com/hc/ru/articles/213965889-Интерфейс-командной-строки-CLI-интернет-центра

https://help.keenetic.com/hc/ru/articles/360021888880-Установка-OPKG-Entware-на-встроенную-память-роутера

Справочник команд CLI если кому-то нужен:

https://storage.googleapis.com/docs.help.keenetic.com/cli/3.9/ru/cli_manual_kn-1910_ru.pdf

Выполним предварительную настройку, прежде чем начать развертывание Nextcloud.

1. Обновляем списки пакетов.

Актуализируем списки пакетов в репозиториях и обновим их, чтобы установка проходили без ошибок:

apt update && apt upgrade -y

2. Синхронизируем время.

Выставляем нужный часовой пояс:

timedatectl set-timezone Asia/Vladivostok

* в данном примере Владивостокское время.

проверим изменились ли настройки

timedatectl

Настройка сервера баз данных

В качестве СУБД используем MariaDB.

Устанавливаем:

apt install mariadb-server

Разрешаем автозапуск и стартуем сервис:

systemctl enable mariadb

systemctl start mariadb

Задаем пароль для суперпользователя mysql:

mysqladmin -u root password

Подключаемся к MariaDB, создаем базу данных и пользователя и назначаем права:

mysql -uroot -p

> CREATE USER 'nextcloud'@'localhost' IDENTIFIED BY 'strong_password';
> CREATE DATABASE IF NOT EXISTS nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
> GRANT ALL PRIVILEGES ON nextcloud.* TO 'nextcloud'@'localhost';
> \q

незабываем поменять "strong_password" на свой пароль

Установка и настройка веб-сервера

PHP

Перед тем, как устанавливать php, стоит изучить системные требования Nextcloud. Для корректной работы нужно установить рекомендуемую версию PHP.

На момент последнего обновления инструкции, рекомендовалось установить PHP версии 8.3. Для дальнейшего удобства работы, мы сохраним ее в переменную:

export PHP_VER=8.3

Посмотреть, какая версия будет установлена из репозитория системы можно командой:

apt search --names-only '^php[.0-9]{3}$'

а) Если она соответствует рекомендации Nextcloud, вводим команду для установки PHP, PHP-FPM и необходимых расширений:

apt install php php-fpm php-common php-zip php-xml php-intl php-gd php-mysql php-mbstring php-curl php-imagick

б) Если рекомендованной PHP версии в репозитории нет, переходим к инструкции Установка разных версий PHP на Linux Ubuntu. А для установки расширений используем команду:

apt install php${PHP_VER}-fpm php${PHP_VER}-common php${PHP_VER}-zip php${PHP_VER}-xml php${PHP_VER}-intl php${PHP_VER}-gd php${PHP_VER}-mysql php${PHP_VER}-mbstring php${PHP_VER}-curl php${PHP_VER}-imagick php${PHP_VER}-gmp php${PHP_VER}-bcmath libmagickcore-6.q16-6-extra

* где PHP_VER — ранее определенная нами переменная с рекомендованной версией PHP.

Установка php завершена и можно перейти к ее настройке.

Настраиваем php-fpm:

nano /etc/php/${PHP_VER}/fpm/pool.d/www.conf

* путь к данной папке зависит от установленной версии php. В данном примере это 8.3 (задана через переменную PHP_VER).

Снимаем комментарии со следующей строки:

env[PATH] = /usr/local/bin:/usr/bin:/bin

Настраиваем php.ini:

nano /etc/php/${PHP_VER}/fpm/php.ini

opcache.enable_cli=1
opcache.interned_strings_buffer=32
opcache.revalidate_freq=1

Разрешаем автозапуск php-fpm и перезапускаем его:

systemctl enable php${PHP_VER}-fpm

systemctl restart php${PHP_VER}-fpm

NGINX

Nextcloud можно развернуть на NGINX или Apache. В данной инструкции будем использовать первый.

Устанавливаем веб-сервер:

apt install nginx

Создаем виртуальный домен и настраиваем его для работы с облачным сервисом:

nano /etc/nginx/sites-enabled/nextcloud.conf

Сначала подготовим файл следующего содержания для получения сертификата Let's Encrypt

server {
listen 80;
server_name nc.хост.com;
}

После установки php мог установиться и запуститься apache. Отключаем его:

systemctl stop apache2

systemctl disable apache2

Проверяем конфигурацию nginx и перезапускаем сервис:

nginx -t

systemctl restart nginx

Разрешаем автозапуск:

systemctl enable nginx

Теперь необходимо получить сертификаты для ssl

Установка Certbot и его плагина Nginx:

sudo apt install certbot python3-certbot-nginx

#Получаем сертификаты для всего если нужно (я получал для всех поддоменов, которые прописал на в т.ч. для почты, заббикса, и т.п., у вас могут быть и должны быть свои)

#Сначала с ключом --dry-run проверяем все ли в порядке

sudo certbot certonly --agree-tos --email почта@администратора -d ваш.домен -d nextcloud.ваш.домен -d cloud.ваш.домен -d zabbix.ваш.домен -d www.ваш.домен -d mail.ваш.домен --nginx --dry-run

Если все хорошо то выполняем без --dry-run

sudo certbot certonly --agree-tos --email почта@администратора -d ваш.домен -d nextcloud.ваш.домен -d cloud.ваш.домен -d zabbix.ваш.домен -d www.ваш.домен -d mail.ваш.домен --nginx

Сертификаты появятся в папке /etc/letsencrypt/live/ваш.домен
cert.pem chain.pem fullchain.pem privkey.pem

Далее необходимо заменить конфигурацию nginx на рабочую

nano /etc/nginx/sites-enabled/nextcloud.conf

Со следующим содержимым

server {
listen 80;
listen 443 ssl;
server_name nextcloud.yourdomain.ru;

if ($scheme = 'http') {
return 301 https://$host$request_uri;
}

ssl_certificate /etc/letsencrypt/live/nextcloud.yourdomain.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nextcloud.yourdomain.ru/privkey.pem;

root /var/www/nextcloud;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
client_max_body_size 10G;
fastcgi_buffers 64 4K;

rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect;
rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect;
rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect;

index index.php;
error_page 403 = /core/templates/403.php;
error_page 404 = /core/templates/404.php;

location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}

location ~ ^/(data|config|\.ht|db_structure\.xml|README) {
deny all;
}

location ^~ /.well-known {
location = /.well-known/carddav { return 301 /remote.php/dav/; }
location = /.well-known/caldav { return 301 /remote.php/dav/; }
location = /.well-known/webfinger { return 301 /index.php/.well-known/webfinger; }
location = /.well-known/nodeinfo { return 301 /index.php/.well-known/nodeinfo; }
location ^~ /.well-known{ return 301 /index.php/$uri; }
try_files $uri $uri/ =404;
}

location / {
rewrite ^/.well-known/host-meta /public.php?service=host-meta last;
rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last;
rewrite ^(/core/doc/[^\/]+/)$ $1/index.html;
try_files $uri $uri/ index.php;
}

location ~ ^(.+?\.php)(/.*)?$ {
try_files $1 = 404;
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$1;
fastcgi_param PATH_INFO $2;
fastcgi_param HTTPS on;
fastcgi_pass unix:/run/php/php8.3-fpm.sock;
}

location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ {
expires modified +30d;
access_log off;
}
}

* где:

• nextcloud.dmosk.ru — домен, на котором будет работать сервис;
• /etc/nginx/ssl — каталог, в котором будут храниться сертификаты;
• /var/www/nextcloud — каталог с порталом.
• fastcgi_pass — обработчик скриптов. В нашем примере используется php-fpm. Обратите внимание, что путь до сокетного файла будет зависить от версии PHP.

Установка Nextcloud

Устанавливаем пакет unzip:

apt install unzip

На странице nextcloud можно ознакомиться с возможными вариантами загрузки портала. Мы же возьмем последнюю версию.

Переходим во временную папку и скачиваем исходник:

cd /tmp

wget https://download.nextcloud.com/server/releases/latest.zip

Распаковываем скачанный архив:

unzip latest.zip

И переносим содержимое архива в каталог /var/www:

mv nextcloud /var/www

Задаем права доступа:

chown -R www-data:www-data /var/www/nextcloud

Открываем браузер и переходим по адресу https://nextcloud.вашдомен.ru, где nextcloud.вашдомен.ru — адрес облачного сервиса.

Задаем логин и пароль для администратора. В качестве базы данных выбираем MySQL/MariaDB (если предлагается выбор) и вводим в качестве логина и базы nextcloud. А пароль указываем который указывали для пользователя nextcloud при создании базы данных выше.

Завершаем установку.

Оптимизируем работу базы данных:

sudo -u www-data php /var/www/nextcloud/occ db:convert-filecache-bigint

sudo -u www-data php /var/www/nextcloud/occ db:add-missing-indices

P.S. для синхронизации файлов используем родное десктопное приложение доступное на https://nextcloud.com/install/#desktop-files

Тюнинг

Если вы столкнетесь с медленной загрузкой большого числа файлов или больших файлов то нужно поправить параметры в /etc/php/8.3/fpm/php.ini

nano /etc/php/8.3/fpm/php.ini

memory_limit = 4096Mb
post_max_size = 8G
upload_max_filesize= 8G

memory_limit это ограничение использования памяти по этому указываем относительно памяти вашего сервера

И в /var/www/nextcloud/config/config.php:

nano /var/www/nextcloud/config/config.php

'chunkSize' => '2048MB',

После перезапустить службу php-fpm:

systemctl restart php7.4-fpm

Продление сертификатор Let's encrypt

Как объяснялось выше сначала делаем тест:

sudo certbot certonly --agree-tos --email вашемаиладрес@домен -d вашдомен.com --nginx --dry-run

Если все успешно то стераем --dry-run

Учтите для успешного соединения сервер должен быть доступен по 80 порту. Не забываем настроить проброс на фаерволе.

Если не работают некоторые приложения:

Столкнулся с тем, что не работало приложение Tasks. Исправляется следующим образом:

Добавим следующее содержимое в файл nextcloud.conf

nano /etc/nginx/sites-enabled/nextcloud.conf

# Serve static files
location ~ \.(?:css|js|mjs|svg|gif|png|jpg|ico|wasm|tflite|map|ogg|flac)$ {
try_files $uri /index.php$request_uri;
# HTTP response headers borrowed from Nextcloud `.htaccess`
add_header Cache-Control "public, max-age=15778463, immutable";
add_header Referrer-Policy "no-referrer" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Permitted-Cross-Domain-Policies "none" always;
add_header X-Robots-Tag "noindex, nofollow" always;
add_header X-XSS-Protection "1; mode=block" always;
access_log off; # Optional: Don't log access to assets
}

а в файл mime.types

nano /etc/nginx/mime.types
application/javascript js mjs;

После чего перезапускаем nginx

service nginx restart

Шаг 2: Установим зависимости с помощью sudo apt-get install libpulse-dev libatomic1 libc6

Шаг 3: Создадим нового пользователя для сервера Valheim: sudo useradd -m steam

Шаг 4: Перейдем в папку /home/steam , которая появилась после создания пользователя: cd /home/steam.Если получаем ошибку "permission denied", используем sudo su , чтобы переключиться на root пользователя.

Шаг 5: Установим SteamCMD: sudo apt install steamcmd

Если это не сработает, используем эти команды: sudo add-apt-repository multiverse sudo dpkg --add-architecture i386 sudo apt update sudo apt install lib32gcc1 steamcmd

Шаг 6:

Зайдем в консоль SteamCMD: cd ~ steamcmd

Сменим директорию установки force_install_dir /home/steam/valheim

Затем авторизируемся, как аноним: login anonymous

Обновим или установим сервер Valheim: app_update 896660 validate

Для выхода из консоли используем exit

Шаг 7: Настроим файл start_server.sh, используя текстовый редактор типа nano: nano /home/steam/valheim/start_server.sh Ближе к концу мы увидим строку, где можно редактировать параметры, такие как имя сервера, файл мира, пароль и порт.

Пример: ./valheim_server.x86_64 -nographics -batchmode -name "Wild Hunt" -port 2456 -world "WildHuntWorld" -password "password" -savedir "/home/steam/valheim/WildHuntWorld" -preset normal -modifier portals casual

-preset normal это пресет сложности как в одиночной игре влияет на урон и частоту ивентов атаки базы
-modifier portals casual добавляет возможность использовать порталы с рудой в инвентаре
-savedir "/home/steam/valheim/WildHuntWorld" папка сохранения файлов мира

На этом всё для запуска используем ./start_server.sh первый запуск довольно долгий из-за того что генерируется мир.

Шаг 8: Для автоматического запуска игрового сервера воспользуемся возможностями systemd.

sudo nano /etc/systemd/system/vhserver.service

Файл должен иметь примерно такое содержимое (поправьте пути к файлам и скриптам).

[Unit]
Description=Linux Valheim Server
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=steam
WorkingDirectory=/home/steam/valheim
ExecStart=/home/steam/valheim/start_server.sh start
ExecStop=/home/steam/valheim/start_server.sh stop
Restart=on-failure
RestartSec=10

[Install]
WantedBy=multi-user.target

Замените нужные значения, т.е. имя пользователя и путь к файлу запуска сервера, если вы использовали отличные от статьи.

После этого обновляем настройки systemd и включаем службу.

sudo systemctl daemon-reload
sudo systemctl enable vhserver.service

Теперь сервер запускается автоматически!

1) Позиции создаются и загружаются через ПО Загрузчик весов "ШТРИХ-ПРИНТ".

Особенности:
Наименования печатаются оба в области наименование по этому необходимо оставить только одно.
Код это Штрихкод товара при добавления новой позиции он автоматически не увеличивается, по этому его необходимо корректировать после ввода.

2) Привязка клавиш осуществляется в ПО Тест драйвера весов "ШТРИХ-ПРИНТ"

Особенности:
Указываем ПЛУ и Номер клавиши и нажимаем записать. Номера клавиш и стандартная распиновка на картинках ниже.

3) Далее редактируем этикетку в ПО Редактор этикетов весов "ШТРИХ-ПРИНТ"

Особенности:
Импортируем из весов.
Отключаем все не нужные поля и экспортируем обратно в весы

1. Находим в списке Текущие дела ЭДО зависшие документы и помечаем их на удаление. Запишите на всякий случай Дату и Контрагента, они дальше пригодятся.

2. Заходим в Администрирование -> Обслуживание -> Удаление помеченных объектов (нам необходимо отметить галочками Входящие электронные документы, а так же Присоединенные файлы (Сообщение ЭДО) и Сообщения ЭДО, эти объекты 1С помещает на удаление сама когда мы помечаем на удаление документы в пункте 1) и удаляем

3. После удаления нам необходимо открыть список документов Транспортные контейнеры (если не знаете как это сделать, я бы на вашем месте обратился к специалистам, т.к. вы явно не понимаете, что делаете и можете наделать глупостей которые потом не факт что получится исправить). В данном списке нужно найти документы которые связанны с зависшими, которые были удалены в шаге 2. Определить их можно по Времени и Контрагенту. В моем примере в 9.20 был принял входящий документ, а в 10.41 попробовали отправить подписанные документы (именно на этой стадии обычно и возникают проблемы).

4. Заходим в Администрирование -> Обслуживание -> Удаление помеченных объектов (нам необходимо отметить галочками Транспортные контейнеры ЭДО, а так же Присоединенные файлы (Транспортный контейнер ЭДО), эти объекты 1С помещает на удаление сама когда мы помечаем на удаление документы в пункте 3) и удаляем

5. Далее нам необходимо открыть справочник Учетных записей ЭДО, найти нужную нам и сместить у неё дату получения документов. Записываем изменения.

6. Возвращаемся в Текущие дела ЭДО и перезапрашиваем документы.

7. Документы должны прийти и мы можем их Подписать и отправить.

Перед заменой ФН необходимо:

• Закрыть смену на кассе и убедиться, что все чеки переданы в ОФД.
• Проверить наличие интернета на устройстве и уровень заряда батареи (должен быть не менее 50%).

Процесс замены

1. Перейти в «Настройки» на главном экране кассы (если значка нет, нажать на кнопку с точками внизу экрана).
2. Выбрать раздел «Администрирование ККТ» — это сервисное меню.
3. Выполнить «Закрытие архива ФН». После этого касса распечатает отчёт о закрытии ФН и завершится отправка данных в ОФД.
4. Выключить кассу и отсоединить кабель блока питания и кабели всех подключённых внешних устройств.
5. Открыть заднюю крышку кассы.
6. Аккуратно извлечь старый ФН и установить новый (прямоугольным отверстием вперёд).
7. Закрыть крышку.
8. Включить кассу и снова перейти в «Администрирование ККТ» → «Замена ФН».
9. Проверить реквизиты и нажать «Зарегистрировать замену ФН». Касса распечатает чек, подтверждающий замену.

Для работы с маркированной продукцией и активации разрешительного режима необходимо сделать следующие действия.

• При регистрации/перерегистрации выбрать ФФД 1.2
• Указать признак продажи маркированной продукции (признак так же необходимо отметить при регистрации/перерегистрации на сайте налоговой https://nalog.gov.ru)

Активация разрешительного режима

1. На главном экране смарт-терминала нажмите и кликните «Драйвер ККТ» (если значка нет, нажать на кнопку с точками внизу экрана)

2. Нажмите «Параметры ККТ» и разверните таблицу «15 ОФД»

3. Проверьте настройки ОФД оператора (вот некоторые из самых популярных):

Калуга Астрал:
Адрес для подключения: ofd.astralnalog.ru
IP адрес сервера: 91.239.5.68
Порт: 7777

Адрес ИСМ и ОИСМ по маркировке для ФФД 1.2
Адрес для подключения: ofd.astralnalog.ru
IP адрес сервера: 91.239.5.68
Порт: 7777

Платформа ОФД:
Адрес для подключения: ofdp.platformaofd.ru
IP адрес сервера: 185.170.204.91
Порт: 21101

Адрес ИСМ и ОИСМ по маркировке для ФФД 1.2
Адрес для подключения: ofdp.platformaofd.ru
IP адрес сервера: 185.170.204.91
Порт: 21102

Такском ОФД:
Адрес для подключения: f1.taxcom.ru
IP адрес сервера: 193.0.214.11
Порт: 7777

Адрес ИСМ и ОИСМ по маркировке для ФФД 1.2
Адрес для подключения: f1.taxcom.ru
IP адрес сервера: 193.0.214.11
Порт: 8777

4. Адрес ИСМ и ОИСМ вводится либо при регистрации/перерегистрации либо в таблице «26 Работа с КМ».

5. Адрес ОКП и порт указываются в зависимости от производителя фискального накопителя из следующего списка:

Адрес сервера для ФН от ООО «Инвента»
Адрес сервера: prod01.okp-fn.ru
Порт: 26101

Адрес сервера для ФН от АО «Концерн «Автоматика»
Адрес сервера: s03-a.prod.okp-fn.ru
Порт: 26101

Адрес сервера для ФН от ООО «Эвотор»
Адрес сервера: s02-a.prod.okp-fn.ru
Порт: 26101

P.S. Не забудьте после выполнения операций на кассовом аппарате провести необходимые операции в ЛК в личном кабинете налоговой.

Способ №1 PowerShell:

1. Жмем «Windows + R».
2. В строку Открыть вводим «powershell» и кликаем по «Ок».
3. В открывшейся консоли вводим команду(ы) из списка ниже (в зависимости от того что вы хотите сделать)

Узнать статус гостевых входов (параметр EnableInsecureGuestLogons):

Get-SmbClientConfiguration

Включение небезопасных гостевых входов:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $True -Force

Выключение небезопасных гостевых входов:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $False -Force

Способ №2 Групповые политики:

1. Жмем «Windows + R».
2. В строку Открыть вводим «gpedit.msc» и кликаем по «Ок».
3. В области слева в разделе "Политика локального компьютера" перейдите к разделу "Конфигурация компьютера\Административные шаблоны\Сеть\Рабочая станция Lanman".
4. Откройте небезопасные гостевые входы, нажмите кнопку "Включено", а затем нажмите кнопку "Ок".

Не забудьте после проделанных процедур перезагрузить ПК, чтоб изменения вступили в силу.

Ошибка 0x0000011b появляется при попытке использовать USB принтер опубликованный в общий доступ с компьютера с Windows 7, 10, 11. При чем ошибка может возникать как на отдельных устройствах, так и на всех параллельно. Ошибка появилась после очередного обновления системы безопасности выпущенное Microsoft. Причиной является серия изменений в системе безопасности, призванные закрыть уязвимость подмены диспетчера очереди печати в Windows.

Опять же в интернете много скопированных статей где не понятно какие параметры и на каких компьютерах менять (что прописывать на серверном ПК что на клиентском). В этой статье и будем разбираться.

Для решения данной проблемы есть несколько вариантов решения т.к. и причин может быть несколько.

Способ 1: отключить защиту от CVE-2021-1678

Именно попытка защиты от CVE-2021-1678 и привела к появлению ошибки 0x0000011b. Благо, изменив один из параметров реестра, удастся добиться сразу двух целей: защититься от уязвимости «Призрачного принтера» и MSHTML, а также исправить сбой подключения к принтеру.

Что же нужно сделать:

1. Жмем правой кнопкой мыши по «Пуск» и выбираем элемент «Выполнить».
2. В новую строку вводим regedit и кликаем по «Ок».
3. Последовательно открываем следующие папки HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print
4. В конечном каталоге переходим в правое окно и ищем параметр с названием RpcAuthnLevelPrivacyEnabled. Если его здесь нет, следует создать новый 32-разрядный параметр DWORD.
5. Устанавливаем для него значение 0.
6. Перезагружаем ПК.

Способ 2: отключить требование прав Администратора для установки драйверов с принт-сервера

Обновление для ОС Windows от August 10, 2021 (KB5005652 ) меняет поведение по умолчанию, касающееся установки драйвера принтера при его подключении с принт-сервера. После установки данного обновления, для установки драйвера обязательно нужны права Администратора.

В данном случае по мимо ошибки 0x0000011b вы можете получать ошибку 0x00000005 (доступ запрещён).

1. Жмем правой кнопкой мыши по «Пуск» и выбираем элемент «Выполнить».
2. В новую строку вводим regedit и кликаем по «Ок».
3. Последовательно открываем следующие папки HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
4. В конечном каталоге переходим в правое окно и ищем параметр с названием RestrictDriverInstallationToAdministrators. Если его здесь нет, следует создать новый 32-разрядный параметр DWORD.
5. Устанавливаем для него значение 1.
6. Перезагружаем ПК.

В данной статье мы рассмотрим как правильно включать и отключать SMB1/2/3, т.к. в интернете в статьях всё в кучу сервер/клиент и т.п.

Из-за некорректной настройки SMB1/2/3 клиента или сервера при подключении мы можем получать ошибки 0x80004005 или 0x80070035.

Клиентская часть SMB 1/2/3 Client

Начнем мы с того как определить какая версия используется у вас, для этого в PowerShell введем

sc.exe qc lanmanworkstation

Если в выводе мы видим MRxSmb20 то значит сейчас используется SMB2/3
Если в выводе мы видим MRxSmb10 то значит сейчас используется SMB1
Возможно одновременно использование обоих протоколов!

Если вам необходимо включить SMB1 Client то сначала необходимо его установить для этого ниже перечислены команды для проверки и установки, а так же удаления.

Команды для управления из PowerShell:

Обнаружение:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Отключение:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Включение:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

После установки потребуется перезагрузка.

Так же можно включить из установки дополнительных компонентов Windows, я обычно делают отсюда т.к. команда включает все опции (как на скриншоте), а мне как правило нужен только клиент.

После установки и перезагрузки(можно и до) необходимо добавить SMB1 Client в автоматическую загрузку службы для этого используем следующие команды:

Если нужен только SMB1:

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb10 start=auto

Если нужен только SMB2/3:

sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb20 start=auto

Если нужны оба протокола:

sc.exe config lanmanworkstation depend=bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb10 start=auto
sc.exe config mrxsmb20 start=auto

На этом настройка SMB клиентской части заканчивается, что хотелось бы добавить, что иногда ещё необходимо включить небезопасные гостевые входы т.к. ввиду безопасности в последних версия Windows 10/11 они отключены по умолчанию.

Включение гостевых входов может потребоваться, если пользователю требуется доступ к ресурсу на сервере, но сервер не предоставляет учетные записи пользователей, только гостевой доступ.

Для этого используются команды PowerShell:

Получить статус гостевых входов (параметр EnableInsecureGuestLogons):

Get-SmbClientConfiguration

Включение небезопасных гостевых входов:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $True -Force

Выключение небезопасных гостевых входов:

Set-SmbClientConfiguration -EnableInsecureGuestLogons $False -Force

Серверная часть SMB 1/2/3 Server

Серверная часть это допустим когда мы открываем общий доступ к папке на нашем компьютере в данном случаем мы сервер.

Тут по сути все тоже самое только везде прописан Server. Сначала потребуется установка.

Команды для управления из PowerShell:

Обнаружение:

Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Отключение:

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Включение:

Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

После установки потребуется перезагрузка.

Так же можно включить из установки дополнительных компонентов Windows если хотим включить только сервер без клиента.

А вот при активации команды используются другие (относительно клиентского приложения):

Команды для управления из PowerShell:

Обнаружение и управление SMB1 Server:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Отключение:

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Включение:

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Обнаружение и управление SMB2 Server:

Get-SmbServerConfiguration | Select EnableSMB2Protocol

Отключение:

Set-SmbServerConfiguration -EnableSMB2Protocol $false

Включение:

Set-SmbServerConfiguration -EnableSMB2Protocol $true

Так же если вы настроили всё корректно, но всё так же не можете получить доступ к ПК или Общей папке, возможно вам необходимо включить Небезопасные гостевые входы. О том как это сделать описано в статье:

Включение гостевых входов может потребоваться, если требуется получить доступ к ресурсу на сервере используя Гостевую учетную запись.

При написание использовались следующие статьи:

https://learn.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3?tabs=client

https://learn.microsoft.com/ru-ru/windows-server/storage/file-server/enable-insecure-guest-logons-smb2-and-smb3?tabs=powershell

В ранее оформленной статье мы рассматривали как установить и настроить панель 3X-UI по этому в рамках этой статьи мы рассмотрим только настройку Wireguard.

1) Добавим новый входящий откроем Inbounds -> Add Inbound

Remark - название нашего соединения

Protocol - используемый протокол (выберем Wireguard)

Sniffing - я всегда включаю по умолчанию

Allowed IP's - указываются ip-адрес wireguard-клиента (peer)

Wireguard это относительно простой протокол маршрутизация в котором указывается напрямую в конфигурации.

Если просто то AllowedIPs должен содержать ip-адрес wireguard-клиента (peer) с маской 32, и разрешенные сети (например 192.168.х.0/24) которые при этом не должны пересекаться. Но в этой статье мы рассматриваем VPN сервер для выхода в интернет, а не маршрутизирования сетей по этому тут мы указываем только адреса пира(ов) если их несколько.

Остальные поля заполнятся сами, единственно при желании можете поменять Port.

На этом настройка серверной части закончена, на выходе вы получите конфиг следующего вида:

[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=
Address = 10.0.0.2/24
DNS = 1.1.1.1, 1.0.0.1
MTU = 1420

# Wireguard-1
[Peer]
PublicKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY=
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = yourdomain.com:yourport

Теперь осталось дело за малым настроить Mikrotik и ввести Key куда следует

1) Создадим интерфейс (его нужно создавать всегда и когда Mikrotik является сервером и когда клиентом) WireGuard -> Add

Name - имя интерфейса может быть любое

MTU - следует указывать тоже что и на сервере 3X-UI

PrivateKey - тут указываем SecretKey который берем из настроек Peer в 3X-UI

если рассматривать конфиг то это следующий ключ

[Interface]
PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX=

PublicKey - сгенерируется сам и если всё хорошо он совпадtn с ключом в 3X-UI

2) Создадим клиентское подключение Peer WireGuard -> Peers -> Add

Name - имя peer может быть любое

Allowed IP's - указываются 0.0.0.0/0 и ::/0 т.к. мы будем разрешать весь трафик в туннеле

Endpoint - адрес нашего сервер 3X-UI

Enpoint Port - порт который мы указывали выше в настройках Wireguard

Persistent Keepalive - это время посылки пакета поддерживающего связь не разрывной (если не указывать то микротик будет устанавливать связь только при наличии трафика) рекомендуемое значение 00:00:25

PublicKey - тут указываем PublicKey из настроек Wireguard в 3X-UI

если рассматривать конфиг то это следующий ключ

# Wireguard-1
[Peer]
PublicKey = YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY=

3) Добавим адрес для нашего интерфейса Wireguard IP -> Address -> Add

Address - берем из настроек Peer в 3X-UI только маску указываем /24

Network - если просто, то тот же адрес только с 0 на конце

Interface - выбираем ранее созданный интерфейс Wireguard

Если всё хорошо то мы увидим успешное рукопожатие в таблице Peers

4) Так же в дополнение нам нужно добавить правило Masquerade в Firewall, чтоб в дальнейшем маршрутизировать трафик. IP -> Firewall -> NAT -> Add

Chain - выбираем srcnat

Out. Interface - выбираем наш созданный интерфейс Wireguard

На вкладке Action выбираем Masquerade

Дальше настраиваем маршрутизацию как душе угодно. В статье Маршрутизация отдельных приложений я как раз рассматривал один из примеров.