Jump to content
Калькуляторы

NarkoHeal

Пользователи
  • Posts

    35
  • Joined

  • Last visited

About NarkoHeal

  • Rank
    Абитуриент
    Абитуриент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Доброго времени суток всем! Кто то пытался через техподдержку разрешить обмен трафиком/в одну сеть/воткнуть в один vlan (не знаю, как в еспд происходит разграничение сетей) между несколькими ОУ? Суть. Через 2 месяца встаем на кап. ремонт. Педагоги (с педагогами, возможно хрен с ними), замы разбегаются по 4ем школам. А у нас NAS, AD DC (+dns), почтовый веб клиент и прочая лабуда. Маршруты настроить не проблема и в каждой школе для этого иметь внутренний шлюз, проблема как сделать запрос на открытие обменом трафика исключительно между основной ОУ и 4я принимающими. На данный момент с другой ОУ удалось провести тест обмена, icmp пакеты и tcp на 80 порту точно работают. Пока непонятно, работает ли udp, но надеюсь, что работает.
  2. 1. Дергать ссылку деавторизации - это хорошо. Меня потом заклюют, каждые 40 минут авторизацию делать. Еще не понятно, как к этому госуслуги отнесутся, делая вход через есиа каждому человеку по 15 раз в день. 2. В документации еспд рт указано, т.е. педагогам разрешен интернет без контент фильтрации. Да и УО требовало, чтобы у педагогов работал интернет. А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает. Еще варианты?
  3. Есть те, кто решал проблему авторизации в еспд, когда за каждым рабочим местом в день может работать по 15 человек? На данный момент, у нас с этого полугодия заставили вновь педагогов бегать по кабинетам к детям, естественно перед уроком проходить авторизацию, а в конце урока авторизацию сбрасывать каждому - так себе удовольствие. Мы насчитали, более 700 авторизаций в рабочий день у нас должно было быть. На данный момент, обходим проблему таким способом: т.к. у нас прозрачный нат, при авторизации педагога на рабочей станции в домене, дергаем логон скрипт, который по http дергает api шлюза, передавая ему ip станции, sid пользователя. Далее, уже на самом шлюзе из iptables удаляется предыдущее правило --to-source, которое имеет нужный ip и применяется новое правило, которое нужный ip станции (за нат) гонит через --to-source ip пользователя. Естественно, каждый SID через базу прописан свой IP. Получается, что мы IP еспд привязываем к доменному пользователю и через скрипты гоняем их. Естественно, это не отменяет первой авторизации в еспд каждого пользователя в рабочий день. Пока появляется проблема, что станции, на которых нужно залогиниться под одинаковым (например, какие нибудь конкурсы или студенты приходящие) то на всех, кроме последнего, интернета не будет. А так же, при логоне, маршруты могут несколько минут перестраиваться. Может, у кого то было более надежное решение?
  4. Не фильтрованный интернет можно получать через прокси, отправляя запрос connect. Без регистрации, смс и просмотра рекламы.
  5. Раньше были открытые порты. Сейчас без авторизации в еспд, открыты некоторые порты только на разрешенные ip., типа dns rt, страница авторизации, электронный журнал. Так что, настрочить бумажку придется. Какой впн лучше, холиваров полно. Тут, что Вам нравится.
  6. Белый IP не получить. Говорят, только если будет письмо от мин. обр. Второй инет не подключить. Если узнают, впаяют не целевое расходование средств. Даже если вы автономные и у Вас есть внебюджет. Поднимаете где нибудь vpn, хоть на виртуалке, но на внешнем ресурсе. Пишете письмо в РТ с просьбой открыть порт по такому то протоколу. В течении суток Вам откроют и подключаете школьные сервисы или роутер к vpn своему.
  7. Что в понимании "если он рядом" ? У нас корпус второй должны начать строить, приблизительная удаленность, метров 200 и интересует эта же ситуация.
  8. Я вот сильно сомневаюсь, что минцифры без участия ртк занимался разработкой этого проекта. Ну нет там людей, хоть сколько нибудь понимающих маршрутизацию. Максимум, коммутатор могут в розетку включить.
  9. Я же Вам говорю, заведите прозрачный нат. Хоть на бубунте с fw и суч*ами. И будете полетом внутреннего трафика управлять, параллельно отправляя часть трафика на беспроводной wifi мост соседнего дома. От них все равно вменяемой схемы не добьешься. Те, кто тз составлял, думали, что во всех школах все в неуправляемые коммутаторы втыкалось, которые потом приходили в какой нибудь 2640u или hg8245. К сожалению, таких школ подавляющее большинство было. У некоторых еще и интернет был только с контент фильтрацией, который при замене терминалов, сами ребята с РТ запустить не могли.
  10. Так они же по заявке могут и 5 подсетей выдать. У Вас в сети 1279 устройств или около того?
  11. В том, что у нас на одно рабочее место по 3-4 хари, которые могут каждые 40 минут меняться. Авторизацию один пройдет и забудет ее сбросить и потом другой юзер под авторизацией не своей пользуется. РТ не могут осилить какое нибудь api, через которое можно будет скриптами отслеживать, был ли пользователь авторизован и с каким ip. Потом этими же скриптами, в случае выхода из домена или его блокировки, по запросу в api конкретую авторизацию можно было снести. А вообще, правильная идея была бы, чтобы можно было через api еще и авторизовать конкретного пользователя, теми же скриптами, войдя пользователю в домен, можно было скриптиком через api повесить сессию к ip и не было **ли с открытием браузера и входом на страничку авторизации. Не вопрос настрочить скрипты, которые будут нужные вызовы делать с необходимыми параметрами, API на стороне РТ никто не реализует. Это еще не последний цирк. У нас в городе будут капремонты школ, в следствии которых, много школ отправят к нам, включая учителей, которых мы не сможем в госуслугах привязать к нашей организации, естественно, вход через ЕСИА встает раком.
  12. @OffPlankton подскажите. Все параметры блокировок и открытых портов до конкретных IP, находятся на стороне ростелкома или непосредственно на самом криптошлюзе все конфигурируется?
  13. Если есть нормальный маршрутизатор, гоните каждого пользователя в espd с разным ip. (Так называемый, прозрачный нат) Внутри сети можете адресацию dhcp оставить прежнюю. Только желательно, чтобы либо каждое утро аренда ip у устройства либо заканчивалась, либо чтобы внутри сети ip не менялись и были привязаны к mac адресу. Вообще не понимаю, какова цель всего цирка, чтобы пользователей принудить ходить через есиа. У нас большая часть коллег через есиа ходить не хочет. Они либо с фильтрами работают, либо wifi раздают с телефона.
  14. Тут не совсем так. Организация то бюджетная, но вот с автономными, все куда сложнее. Организация должна запланировать свой бюджет и отразить его в плане-графике. Что отразили, то и тратят. Если потратили свыше, то руководитель может попасть под статью. Правда, с централизованными бухгалтериями, все работает по другому. Есть еще внебюджетные средства. А потом и получается, средства ищут там, где можно сэкономить. Скажут оплачивать самим, оплатят. Зато потом, где нибудь будем лапу сосать. Это то и интересно. Нас же минцифры не оповестит, пока раком все не встанут. В лучшем случае, от РТК иногда письма приходят. По выборам то все стабильно. Только интересно, изменится ли схема подключения их камер с наличием ЕСПД? Раньше то, они свои камеры понатыкают рядом с нашими, поставят свой шкафчик в кабинете и все камеры сведут в него. А он, я так понимаю, использует 3G, 4G, т.к. в нашу сеть они не втыкались и доступа не просили в серверное помещение. Сейчас все так же?