kaeskat

Коллеги, кто как решает дичь от РТК с авторизацией через ЕСИА? Получится ли пользоваться через один адрес, если авторизовываться только через него?

@Vladimir_, Прежде всего рассмотреть вопрос выкинуть роутеры и заменить свичами. Выпросить у местных провайдеров/крупных организаций любое старье в подарок. Для них какой-нибудь DES-1228 уже шлак, но в школе сгодится и будет еще долго работать. Вот это вот ваше "их много" вообще совсем плохо - на такое они не рассчитаны и никто не знает как оно в таком случае себя ведет. Если вы роутеры используете как доступные свичи с 4-мя портами, расширяя сетку через LAN с выключенным DHCP, то вам вероятно надо не просто вырубить DHCP, а переключить роутер в режим точки доступа, чтобы дополнительные функции роутера не мешались работе. Еще один момент, который наблюдался на роутерах D-Link и TP-Link - IP адрес в роутере, даже если он используется как свитч, должен быть таким же, как и у всей сети. Если вы для секурности настроили на роутерах адрес интерфейса 10.10.10.ххх, а сетка 192.168.1.ххх, то роутер может не дать работать через себя клиентам из другой подсети. Причем иногда он делает это сразу, а иногда когда в голову взбредет.

Коллеги, тут местные чиновники из департамента образования рассказали, что якобы Ростелеком реализовал возможность удаленного доступа до сети учреждений по сети ЕСПД. Дескать каким-то образом подключаешься к ЕСПД из обычного Интернет и дальше уже в сеть учреждения попадаешь (сами они не знают). Кто-то про такое слышал?

Ситуация следующая: Камеры mninDome/miniBullet v3 (которые все на одной и той же базе Hi3516CV300 и с одинаковой последней прошивкой) после перезагрузки сбрасывают настройки NTP-сервера на дефолтные - time.windows.com и тайм-зону ставят вашу 😉 ЕКТБ +5. Происходит это, если после перезагрузки камеры не получают некоторое время ответов от ntp-сервера. Можно как-то убрать эту логику из прошивки? (Может быть такое поведение бывает и у других камер, т.к. прошивки очень похожи, но у меня только v3)

Это не так должно быть, если следовать их логике - СКФ не отключается нигде и никогда. Должен быть видимо запрос типа "ресурс https://самыйважныйотчёт прошу включить в список адресов, пропускаемых СКФ напрямую и доступных без вмешательства в трафик". Такие вроде как есть, какой-то перечень госсайтов. И вот если в ответ будет предложение - да вы просто для своего IP, с которого заходите на ресурс, отключите СКФ, тогда тыкать в нос указиловкой. Тем не менее проблема сейчас именно в указиловке - никто не может нормативку сказать, как должно быть.

Напомню что СКФ работает для рабочих мест, выборочно. Даже сам РТК в своих регламентах разделяет на компьютеры учащихся и компьютеры административного персонала, без доступа детей, на которых СКФ может быть отключена по необходимости, есть соответствующие акты приемки настройки и работы обоих вариантов. Причем сделано это на основании ТЗ министерства, т.к. изначально было понятно, что через прокси у административного персонала ничего нормально работать не будет. А вот теперь нам говорят что фигня это всё, СКФ должен быть включен для всех компьютеров без исключений.

Коллеги, у кого всё-таки есть внятный опыт борьбы с нормативкой? На основании каких законодательных актов мы ограничиваем доступ учащихся к нежелательным ресурсам - ну кроме пары самых очевидных? А то нам тут "специалист" из департамента заявил что в школе ВСЁ должно идти через СКФ. И сослался при этом на СанПин (O.O) ! В СанПин я как-то этого не нашел, но зато нашел некое письмо минпросвещения, где действительно сказано буквально следующее - в период нахождения детей в образовательном учреждении СКФ отключать нельзя! Ну а поскольку дети есть в период с 8 до 20, то в рабочее время использовать АРМ без КФ запрещено и все ресурсы, которые через СКФ РТК работать не могут из-за грубого MITM-прокси, соответственно нам будут недоступны. Если такое требование действительно есть, то я в принципе не представляю, как можно нормально работать административному персоналу, не нарушая...

Ну исполнителю формально поставили задачу "что-то запретить", он формально ее выполнил.

Статья на что не предусмотрена - на обслуживание? Так она никогда не предусмотрена и боюсь и не будет. Я еще не разу не слышал чтобы школам насыпали денег на какое-то направление, только чтобы урезали. В понимании чиновников школе нужны деньги только на ЗП. Но еще раз говорю, это не мешает при определенном желании находить какое-то решение. И знаю школы, в т.ч. на селе в области, где всё просто отлично по ИТ. Хотя они небогатые. Но точно так же знаю лицеи и гимназии (!) в областном центре, где с этим полный ужас и ничего годами не делается. Хотя деньги учреждения гребут просто лопатой. Шевелиться начинают только когда директору пендаля навешивают за неисполнение требований по информатизации. Да. Но это по сути всего лишь способ доступа в интернет (не надо придавать смысла понятиям ЕСПД и криптошлюз - его там нет). Всё остальное идет как бонус/грабли, в зависимости от точки зрения, а также может работать и не работать как будет угодно левой пятке РТК. Что касается вашего скриншота в следующем сообщении, воспринимайте его смысл правильно - это баннер, декларация о намерении и отказ от ответственности в одном флаконе. Короче всё написано как всегда, когда хотят сказать умно и ни о чем. Там еще не хватает фразочек "категорически запрещен", "строго ограничен" и т.п. Хотя хватило бы знака "Тупик" и слов "туда нельзя". В общем смысл в том, что они вам говорят, что вот именно данный материал, который они вам не показали, недоступен по таким-то причинам, чтобы вы не возмущались и не лезли никуда с вопросом почему у меня порнхаб и ВК не открывается. Это сообщение не играет никакой роли тогда, когда вы все-таки увидите нежелательный материал. По госконтракту РТК предоставляет КФ именно как "возможность", техническое решение для ограничения доступа к нежелательному контенту. Нигде в контракте не говорится что он гарантирует отсутствие нежелательного контента и несет ответственность за предотвращение доступа к ненадлежащей информации. Нигде не говорится, что путем настройки прокси с КФ образовательные учреждения, таким образом, выполняют свою обязанность по защите несовершеннолетних. Впрочем, если здесь кто-то готов доказать прокуратуре в ходе проверки, что они не правы и виноват РТК, а не школа, потому что ЕСПД и вообще... Ну не забудьте поделиться опытом, мы все с удовольствием воспользуемся.

Я некоторое время назад уже писал, что проект РТК во многом такой деревянный именно потому, что до сих пор очень много школ как таковой ЛВС не имеют (кучка свичей-мыльниц/роутеров, накиданные как попало провода и вручную настроенные компы не в счет). Они просто вынуждено всё свалили в кучу. Тем не менее, РТК в нашем случае просто поставщик услуги "интернет" (в широком смысле). А вот школы, несмотря на отсутствие денег и прочего, вполне могут и должны решать вопросы настройки и обслуживания, а не ждать когда кто-то придет и в клюв положит. Потихоньку решать вопрос с оплатой и остальным... В любом случае, до этого же кто-то как-то настроил то, что у них было? Как-то же компьютеры устанавливаются, настраиваются и ремонтируются? Даже если директор школы свалил это на учителя информатики - это тоже способ решить вопрос. Учитель информатики согласился и впрягся? Не объяснил директору, что где-то и когда-то нужно будет найти выход на профессионального спеца? Ну сам себе злобный буратино... Если директору школы прилетел выговор и лишение премии или представление от прокуратуры и опять же лишение премии - еще лучше. Рано или поздно дойдет.

РТК большая и далекая контора. Козлом отпущения будет школа, которая не организовала и бла-бла-бла... То, что технически невозможно использовать сторонний КФ при включенном прокси РТК, никого волновать не будет. Школа в данном случае организация, которая создает условия для доступа учащихся к нежелательному контенту. По закону именно она обязана это предотвратить. То, что ей не дали инструмента, прокуратуру не колышет. РТК тоже не совсем идиоты и понимают, что если в контракте будет прописана детальная ответственность за фильтрацию контента, их натянут. Минцифры не несет ответственности ни за что, но идет на поводу РТК, чтобы не обидеть хороших людей. Я со своей стороны крайне рекомендую на компьютерах учащихся (в первую очередь кабинет информатики) так настроить работу в сети, чтобы вместо гугла-яндекса и т.п. работал поиск скайднс. Это исключит практически весь спектр нежелательного материала. С обычной фильтрацией сайтов КФ от РТК справляется достаточно прилично.

Потому что не выходит у данилы-мастера каменный цветок. Чтобы был понятен масштаб бедствия - у нас даже содержание обычных учебников и учебную программу формирует не государство/министерство, а издательства, которые данные учебники выпускают. Министерство всего лишь проплачено одобряет или не занесли отклоняет и тогда мы имеем всякий шлак для обучения и выброшенные на помойку нормальные учебники. Нормой является выбросить учебную программу в середине цикла, то есть до 2 класса были одни учебники, а с 3 принципиально другие. Периодически целые блоки выпадают, потому что по старой программе их в этом году еще не проходили, а по новой в следующем считается что уже прошли. Появление цифрового контента ситуацию не изменило, а наоборот, ухудшило, потому что мухи из министерства залипают на слово "цифровой" и качество с содержанием их потом вообще не интересует.

Ситуация примерно такая: Если схема подключения РТК самая простая, без госуслуг и прочей фигни, то у вас есть набор IP адресов, которые работают только через прокси c КФ, и есть набор IP, где доступно более-менее всё. Вы можете на внешнем интерфейсе любого маршрутизатора прописать адрес из нужного набора и тогда всё, что сидит за маршрутизатором, пойдет либо через фильтрацию, либо без нее. Для того, чтобы за маршрутизатором на IP с фильтрацией интернет вообще был, нужно на каждом ПК будет прописать прокси. Если без фильтрации, прокси прописывать не надо. Смотрите картинку во вложении, будет примерно так, с поправкой на ваши адреса, количество роутеров и ПК. Соответственно в кабинетах информатики однозначно должны быть ПК с фильтром (прокси), остальные могут быть без. От Вас зависит правильный разбор сетевых шнурков и подключение к нужному маршрутизатору. Далее по вопросам: 1. Нет не упадет, раньше ж не падал. Рекомендую проверить скорость доступа на спидтесте с нефильтрованных компов. 2. На фильтрованных ПК вообще толком ничего не будет работать, кроме браузера и разрешенных сайтов. Хотя у меня zoom как-то запускался и даже работал. Будет ли работать то что нужно на нефильтрованных компах зависит от левой пятки РТК. Нужно проверять. Большинство простых вещей работает, возможно и Вайбер 3. Смотрите мою схему и пытайтесь для своего случая ее адаптировать. Что и как вы раздаете у себя в школе, РТК не волнует, главное соблюдение требований по ограничению доступа у детей. 4-5: Объясняете элементарно - стихийное бедствие в виде госконтракта, при котором ничего от вас не зависит. Пусть привыкают.

Это не так делается. Берется ближайшая многоэтажка, за копейки ставится сетевой wifi-мост до любого пользователя и на честных 100мбит лезем куда хотим. Бабки они считали как распилить очередной раз. Весь проект под это заточен. Это у меня без них работало и толку на самом деле почти нет. Подключение АРМ учителя через wifi является извращением. Ученические учебные арм в нашем исполнении это бредятина, как и цифровые образовательные ресурсы и учебники. На практике есть некоторая польза когда у педагогов есть выданные на руки ноуты и они с ними могут сесть куда хотят, не привязываясь к стационарному месту (возможно занятому). При этом у РТК рабочий wifi это дырка в общую сеть, тогда как у меня это был изолированный сегмент.

У нас установлена тупая коробка которая не умеет ничего. Это просто такой вариант абонентского окончания. РТК даже свой линк до школы не осилил. ЛОЛШТО? Т.е. добро пожаловать в сеть любая школота? Периодически в такой сети можно ложить всю сеть провайдера минимум до уровня района. А при некоторой удаче и города.