fedukonelove Опубликовано 16 марта, 2022 · Жалоба В 16.03.2022 в 19:32, kaeskat сказал: Ну да, щаз. А я должен бегать и перенастраивать половину систем вместо одного шлюза. Тут проблема вылезла - выяснилось что открытый доступ без фильтрации у нашего РТК это всё равно через прокси. Т.е. по заявке просто отключают фильтрацию на конкретный IP, а ходить надо все равно через прокси. На сквиде можно сделать чтобы запросы на parent уходили с разных ip? Или придется решать все-таки прописыванием прокси в явном виде на клиентских ПК и последующим NAT с нужным IP на шлюзе? Типо того, что перенастраивать всё. Этим нас и заставляют заниматься в Ростелекоме :D А в некоторых школах такие локалки, что прямым лесом нафиг посылают. И я со школами абсолютно согласен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 марта, 2022 · Жалоба В 16.03.2022 в 17:36, fedukonelove сказал: Типо того, что перенастраивать всё. Этим нас и заставляют заниматься в Ростелекоме :D А в некоторых школах такие локалки, что прямым лесом нафиг посылают. И я со школами абсолютно согласен. Это вам в минобр :) Ну нету в школе муниципальной должности сисадмина, есть завхоз и учител информатики, но им за это не платят... Был типично депудатский плюх в виде коровьей лепешки, сверху слегка перекрестились типа пронесло, а оно набирая скорость плюхнуло. Кто выбирал мизулину и хинштейна - покайтесь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Udavf Опубликовано 16 марта, 2022 (изменено) · Жалоба On 3/16/2022 at 3:32 PM, kaeskat said: Тут проблема вылезла - выяснилось что открытый доступ без фильтрации у нашего РТК это всё равно через прокси. Т.е. по заявке просто отключают фильтрацию на конкретный IP, а ходить надо все равно через прокси. На сквиде можно сделать чтобы запросы на parent уходили с разных ip? Или придется решать все-таки прописыванием прокси в явном виде на клиентских ПК и последующим NAT с нужным IP на шлюзе? Об этом полтемы пишется уже Да, tcp_outgoing_address в конфиге On 3/16/2022 at 3:57 PM, YuryD said: Был типично депудатский плюх в виде коровьей лепешки, сверху слегка перекрестились типа пронесло, а оно набирая скорость плюхнуло. Ну есть закрытый сегмент, в котором нету нибуя Там и будут госуслуги и инструкции как правильно Zиговать у деда на могиле в честь оккупации. Изменено 16 марта, 2022 пользователем Udavf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 марта, 2022 · Жалоба В 16.03.2022 в 18:14, Udavf сказал: Там и будут госуслуги и инструкции как правильно Не будет :) Не сумеют, см реестр бесплатных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 16 марта, 2022 · Жалоба В 16.03.2022 в 17:42, fedukonelove сказал: в методичке РТК сказано наоборот. Никакого NATа, все АРМ школы должны быть в подсети открытого/закрытого сегмента Вот что получается. Схема подключения №1 ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор ------> АРМ1 - АРМ2, АРМx Есть отрытый сегмент без настроек прокси (интернет без фильтрации). Работает по принципу Hotspot. В данном случае интернет работает только через соответствующую активную пользовательскую сессию ЕСИА (Госуслуги). Например, пользователь работающий на АРМ1 - прошёл процедуру авторизации через ЕСИА (Госуслуги), его пользовательская сессия в ЕСИА считается открытой с предоставление доступа к сети интернет. Пользователь работающий на АРМ2 - не прошёл аналогичную процедуру авторизации. В таком случае АРМ2 - не имеет доступа к сети интернет. Получается, что АРМ1,АРМ2 и т.д. находящиеся в одной подсети подключенных по схеме №1 - работают с уникальной пользовательской аутентификацией. Схема подключения №2 ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------> маршрутизатор (настроен свой DHCP-сервер) ------> АРМ1 - АРМ2, АРМx В данном случае происходит следующее. Пользователь работающий на АРМ1 - прошёл процедуру авторизации через ЕСИА (Госуслуги), его пользовательская сессия в ЕСИА считается открытой с предоставление доступа к сети интернет. В это время пользователи работающие на АРМ2,АРМ3 и т.д. получат доступ к сети интернет благодаря авторизации пользователя на АРМ1 В данной схеме ESR-10 определяет промежуточный маршрутизатор как одно устройство на которое выделяется одна пользовательская сессия в ЕСИА. И это не правильно. Когда автоматизируется в ЕСИА один пользователь и под его аккаунтом доступ к интернету получают все АРМ учреждения находящиеся в одном сетевом сегменте. Кстати, пользовательская сессия в ЕСИА открыта в течении 12 часов, затем автоматически закрывается. Ручное закрытие сессии (например, выход из личного кабинета "госуслуг" после авторизации через ЕСИА для получения доступа к интернету) почему-то не предусмотрено. В самом РТК не знают ответа на данный вопрос. В связи с чем возникла задача по реализации DHCP-relay на промежуточном маршрутизаторе, чтобы пробросить физические АРМ через промежуточный маршрутизатор на DHCP-сервер LAN сегмента ESR-10. Тогда данная проблема должна исчезнуть. Сейчас на это времени нет... на следующей неделе буду плотно заниматься решением этой задачи... Что касаемо совмещения открытого и закрытого сегмента - это решается на уровне фильтрации и перенаправления сетевого трафика статическому конечному клиенту АРМ - данная задача легко решается при помощи ROS (MikroTik). Единственное, в закрытом сегменте (надеюсь) временно не доступен DNS-сервер обслуживающий зону первого уровня ".espd". Прошлось на ROS прописывать вручную в DNS статику известных мне доменных имён... Что касаемо отрытого сегмента с контент-фильтрацией работающего через прокси и сертификат - для MS Windows сейчас это у меня настраиваться автоматически через созданные соответствующие правила в GPO под управлением AD . Для прозрачного прокси придётся реализовывать DHCP-relay для ESR-10 , иначе мониторинг ЕСПД будет получать данные только об одном физическом устройстве... Над этим тоже ещё предстоит мне работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 марта, 2022 · Жалоба Еще раз, поясните назачем это нужно было ? Отчего вдрюг открытый и закрытый сегменты? И как запретить попадание в открытый сегмент школярам и их родителям через опсосы, глушилок наставить ? Или каждой школе по бске ? Главный вопрос - кому выгодно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 16 марта, 2022 · Жалоба On 3/16/2022 at 8:31 PM, lea-nsk said: Вот что получается. Схема подключения №1 ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор ------> АРМ1 - АРМ2, АРМx Это в ряде мест такое извращение есть, да. Читал я в служебных инструкциях РТК принципы организации. Хотя там вроде бы можно и через прокси, в т.ч. без контент фильтрации и по мне так будет проще, чем вся эта шляпа с госуслугами. Честно говоря вообще не понял зачем это замутили. On 3/16/2022 at 8:14 PM, Udavf said: Да, tcp_outgoing_address в конфиге Получается squid'у всё равно при этом, на parent отправляет или сам запрашивает? Просто будет пользоваться для заданной ACL соответствующим IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 марта, 2022 · Жалоба сквид в этой настройке просто отправляет пакет с tcp_outgoing_address, не более, ответ придет на этот адрес. Далее - изучать конфиги сквида на предметы приваси и прочее. И да, настроек для парент прокси вам рт не даст. Пробоату это, либо у нас нет сквида, либо наш прокси не умеет, или не знаем чоэто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 16 марта, 2022 · Жалоба On 3/16/2022 at 8:48 PM, YuryD said: Еще раз, поясните назачем это нужно было ? Отчего вдрюг открытый и закрытый сегменты? И как запретить попадание в открытый сегмент школярам и их родителям через опсосы, глушилок наставить ? Или каждой школе по бске ? Главный вопрос - кому выгодно ? Открытый это имеется ввиду кастрированный инет от РТК для использования в школе. Может быть фильтрованный, может нет, через прокси. Для особо упорных открывают порты и IP назначения для избранных машин в школе. При этом нужно понимать, что цели именно запретить кому-то что-то - не стояло. Чем там пользуются дети помимо колхоза от РТК никого тоже не волнует. А закрытый предполагает служебную сеть с некоторыми особыми ресурсами. Сейчас это уже работает в больницах. Судя по методичке они предполагают что в школе физически провода закрытого и открытого сегмента будут воткнуты в разные коммутаторы и разные ПК. Это уже сейчас не работает в больницах - народу надо работать, поэтому в компы втыкают 2 сетевухи. On 3/16/2022 at 8:58 PM, YuryD said: И да, настроек для парент прокси вам рт не даст. Что значит не даст, они его по умолчанию дают. Вопрос только как с одного нашего сквида рассовать одни компы с фильтрацией, другие нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 16 марта, 2022 · Жалоба Обалдеть :) Т.е. со сквидом вы дела не имели, и распихать по ip-сетям в тем кому можно и не можно тоже. И по больницам увы - у вас понятия нету... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 16 марта, 2022 (изменено) · Жалоба On 3/16/2022 at 9:58 PM, YuryD said: Обалдеть :) Т.е. со сквидом вы дела не имели, и распихать по ip-сетям в тем кому можно и не можно тоже. И по больницам увы - у вас понятия нету... Меня вполне устраивал обычный шлюз с небольшим количеством открытых портов через NAT и разделением по подсетям без лишнего гемора на сквиде. Сквид стоял практически со стандартными настройками и принудительным transparent proxy для подсети кабинетов информатики, чтобы ссылать школоту на поиск от скайднс вместо обычных поисковиков. Мне никуда не упирались хитро*ые сквидовские извращения для особых ситуаций. Всё это прекрасно работало пока РТК не приперся. Что до больниц, то у них все сделано так же через пятую точку, но там хотя бы федерация стабильно последние лет 7 подгоняла технику, в т.ч. сервера и сетевое оборудование, ибо они пилят электронные медицинские системы. В школах с поступлением техники голяк, местный бюджет тухлый полностью. Изменено 16 марта, 2022 пользователем kaeskat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 17 марта, 2022 · Жалоба В 16.03.2022 в 15:42, fedukonelove сказал: Самый прикол, что в методичке РТК сказано наоборот. Никакого NATа, все АРМ школы должны быть в подсети открытого/закрытого сегмента. Ахааа. Щаз, бегу и падаю. С учётом того, что сеть - полносвязная, любой ПК из условного Мухосранска на дырявой ХРхе будет срать трафиком по всем доступным адресам и рассылать заразу? Делаем ставки, как быстро вирусня засрёт сеть трафиком настолько, что ей станет нереально пользоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 18 марта, 2022 · Жалоба В 17.03.2022 в 16:24, Nickuz сказал: С учётом того, что сеть - полносвязная, любой ПК из условного Мухосранска на дырявой ХРхе будет срать трафиком по всем доступным адресам и рассылать заразу? Делаем ставки, как быстро вирусня засрёт сеть трафиком настолько, что ей станет нереально пользоваться. Если такое произойдёт на официальную электронную почту вашей организации придёт электронное письмо следующего содержания: Добрый день. В настоящее время на сетевом оборудовании центра обработки данных Правительства ххх фиксируются вредоносная активность от компьютера, расположенного в вашей школе. Установлен IP адрес зараженного ПК - 10.хх.хх.хх Описание вредоносной активности: Обращение к вредоносному ресурсу Botnet dst.ip 37.ххх.ххх.ххх Прошу довести данную информацию до технических специалистов, осуществляющих у вас техподдержку компьютерной техники, изолировать зараженный ПК и провести полную проверку. После устранения вредоносного программного обеспечения, направить собранную информацию о нем (скриншоты и др.) в обратном письме. Для выполнения проверок рекомендуем использовать следующие антивирусные утилиты: 1. Dr.Web CureIt! 2. Kaspersky Virus Removal Tool 3. Malwarebytes хххххххххх Эксперт I категории отдела защиты ЦОД ГБУ ххх <ЦЗИ ххх> 8 (ххх) хххххх Это многое объясняет, когда в ОО отсутствует квалифицированный специалист. Например, случай: В 16.03.2022 в 19:57, YuryD сказал: Ну нету в школе муниципальной должности сисадмина, есть завхоз и учител информатики, но им за это не платят... Поэтому нам рекомендуют такую схему подключения ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор ------> АРМ1 - АРМ2, АРМx В данном случае вам укажут конкретный IP адрес подключенной к ЕСПД АРМ с вредоносной сетевой активностью. Так должно быть в идеале. В реальности, это выглядит так. Есть определённый пул IP адресов для LAN ОО раздаваемый DHCP-сервером относящегося к сетевой инфраструктуре ЕСПД РТК. IP адреса распределяются в хаотичном порядке в зависимости от последовательности включения АРМ в ОО подключенных к данной сети. Местный администратор сети будет не в курсе про автоматическое назначение сетевых реквизитов сторонним DHCP-сервером распространяемых на все АРМ подключенных к ЕСПД РТК. С небольшим парком АРМ он ещё сможет справиться. А если число АРМ будет 300+ ? Тогда придётся пользоваться дополнительным софтом (например, Advanced IP Scanner) сканирующего и определяющего активное оборудование по IP в ЛВС ОО. При этом каждая АРМ должна иметь свой понятно-читаемый идентификатор имени АРМ указанного в параметре "имя компьютера"... В данной случае не совсем понятно как реагировать на внештатную ситуацию с Wi-Fi EPSD от РТК ? Wi-Fi EPSD - имеет открытый доступ с единым глобальным паролем, поэтому доступ к Wi-Fi EPSD будет доступен практически в каждой ОО где он установлен. Это означает, что можно свободно придти в другую ОО со своим гаджетом поддерживающим WI-Fi и подключиться там к сети ЕСПД с использованием прокси, обойдя обязательную авторизацию через ЕСИА (Госуслуги)... Ещё, автор проекта ЕСПД (РТК) зачем-то объединил подсеть Wi-Fi EPSD с физической подсетью предназначенную для проводного физического соединения с действующей или новообразованной LAN ОО. Конфиг настроек точек доступа я не видел. С точки зрения безопасности, я бы не стал напрямую без файрвола подключать LAN ОО к ЕСПД в котором присутствует Wi-Fi EPSD. * * * В связи с чем, вопросов возникает больше.... компетентных ответов на них нет. Зачем-то минцифра мои вопросы перенаправляет в техподдержку РТК, которая ничего не знает( В случае схемы подключения ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------> промежуточный маршрутизатор (настроен свой файрвол и DHCP-сервер) ------> АРМ1 - АРМ2, АРМx Отдел защиты ЦОД в случай чего вам укажет только IP-адрес вашего промежуточного маршрутизатора. Данная схема на мой взгляд будет надёжнее в плане защиты и контроля всех АРМ находящиеся в вашей LAN ОО. РТК - это только исполнитель контракта, их не волнует работа и безопасность вашей IT-инфраструктуры не относящаяся к ЕСПД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 10:19, lea-nsk сказал: сли такое произойдёт на официальную электронную почту вашей организации придёт электронное письмо следующего содержания: Благими намерениями... Я так понимаю, что контролируется только исходящий трафик в дикий интернет? Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 10:19, lea-nsk сказал: А если число АРМ будет 300+ а зачем 300+ держать в одной подсети? плодить броадкаст? Явно такой сети светит сегментирование. Правда, на этот счёт проектом никаких дополнительных IP диапазонов не предусмотрено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 18 марта, 2022 · Жалоба On 3/18/2022 at 12:19 PM, lea-nsk said: В случае схемы подключения ЕСПД РТ (открытый сегмент) через ESR-10 (установлен по проекту, включен DHCP-сервер)------> промежуточный маршрутизатор (настроен свой файрвол и DHCP-сервер) ------> АРМ1 - АРМ2, АРМx У нас установлена тупая коробка которая не умеет ничего. Это просто такой вариант абонентского окончания. РТК даже свой линк до школы не осилил. On 3/18/2022 at 12:19 PM, lea-nsk said: Wi-Fi EPSD - имеет открытый доступ с единым глобальным паролем, ЛОЛШТО? Т.е. добро пожаловать в сеть любая школота? On 3/18/2022 at 12:42 PM, Nickuz said: Благими намерениями... Я так понимаю, что контролируется только исходящий трафик в дикий интернет? Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно. Периодически в такой сети можно ложить всю сеть провайдера минимум до уровня района. А при некоторой удаче и города. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 12:42, Nickuz сказал: Я так понимаю, что контролируется только исходящий трафик в дикий интернет? Скорее всего анализируют весь сетевой трафик (src и dst). Иначе, может получиться не совсем хорошая ситуация, когда клиент на своей стороне будет использовать 2 канала связи с поднятой балансировкой межсетевого трафика распределённого между 2 или более провайдерами. Теоретически можно перенаправить исходящий сетевой трафик на стороннего провайдера, а принимать входящий трафик через ЕСПД (РТК). В 18.03.2022 в 12:42, Nickuz сказал: Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно. Со стороны ЕСПД такая возможность есть. На стороне клиента ограничено файрволом в исключении закрытого сегмента ЕСПД. В закрытом сегменте ЕСПД всё наоборот - клиент видит и может просканировать все ресурсные подсети на предмет доступа. Не совсем понятно как настроен файрвол в закрытом сегменте ЕСПД ? Во многих учреждениях где нет возможности использования оборудования, поддерживающего L2\L3. РТК берёт за типовую основу схему с применением 2 сетевых карт, устанавливаемых на АРМ где необходим закрытый сегмент. Обратите на это внимание! Наглядная схема АПКШ ----> сетевой концентратор (если подключение составляет более 1 АРМ) ---> второй сетевой интерфейс АРМ (1-Х) Это не безопасное техническое решение. Судя как всё это технически и документально организовано, нет никакой гарантии, что файрвол в закрытом сегменте настроен должным образом для обеспечения безопасности конечного клиента. Чтобы обезопасить на всякий случай свою локальную сетевую IT-инфраструктуру рекомендую использовать вот такую бюджетную схему: АПКШ ----> межсетевой экран (файрвол)---> сетевой концентратор (если подключение составляет более 1 АРМ) ---> второй сетевой интерфейс АРМ (1-Х) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 12:55, Nickuz сказал: а зачем 300+ держать в одной подсети? плодить броадкаст? Правда, на этот счёт проектом никаких дополнительных IP диапазонов не предусмотрено. Авторы проекта ЕСПД считали, что они зайдут в пустые школы с частично или полностью отсутствующей сетевой IT-инфраструктурой и сделают там доброе дело подключив АРМ к «широкополосному скоростному интернету»… Предполагаю, авторы проекта делали расчёт взяв за основу модель сельских школ с небольшим количеством АРМ с отсутствующей ЛВС. По факту, исполнитель (РТК) столкнулись с неожиданной проблемой на этапе интеграции ЕСПД с ЛВС ОО. Оказалось, что значительная часть образовательных учреждений уже имеет собственную развитую локальную сетевую IT – инфраструктуру соответствующая современным техническим требованиям имеющую полностью изолированную либо частично изолированную сегментацию локальных подсетей, которую не так просто интегрировать с ЕСПД на условиях заказчика (минцифра). У нас в регионе первая версия СППД введённая в эксплуатацию более 6 лет тому назад - работает на основе софтового VipNet (обслуживает индивидуальное 1 АРМ к закрытому сегменту ЕСПД) и аппаратного VipNet Coordinator HW (обслуживает ЛВС ОО открытый/закрытый сегмент). Принцип работы схож доступ к ЕСПД осуществляется через криптошлюз с VPN-туннелем. Когда нам установили VipNet Coordinator HW, чтобы пользоваться интернетом было необходимо устанавливать дополнительный корневой сертификат на каждое АРМ, чтобы корректно открывались сайты через SSL соединение. Интернет на ЕСПД-1 организован на прозрачном прокси, только у него стоят ограничения по портам в файрволе, выдаётся серый IP. Наличие DHCP-сервера, благодаря которому ЦОД шлёт «письма счастья» при обнаружении вредоносной сетевой активности. Преимущество: ЕСПД-1 – совмещенный открытый и закрытый сетевой сегмент, прозрачный прокси, контент-фильтр. Недостатки ЕСПД-1: серый внешний IP, необходимость индивидуальной установки дополнительного корневого сертификата проверки подлинности. Теперь мам постепенно приходится перестраиваться на ЕСПД-2 (РТК). Все хорошо сейчас работает, но авторизация через ЕСИА всё сейчас портит из-за пользовательской открытой сессии, которую вручную нельзя закрыть. Да и 12 часов жизни открытой пользовательской сессии через ЕСИА - это слишком на мой взгляд много… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 13:02, kaeskat сказал: У нас установлена тупая коробка которая не умеет ничего. Это просто такой вариант абонентского окончания. РТК даже свой линк до школы не осилил. Аналогичный вариант где-то я видел у нас в области, там ещё без применения СКЗИ всё подключено. Стоит какой-то маршрутизатор от него идёт абонентская раздача интернета с применением непрозрачного прокси. В 18.03.2022 в 13:02, kaeskat сказал: ЛОЛШТО? Т.е. добро пожаловать в сеть любая школота? Предполагается, что через Wi-Fi EPSD будут подключены гаджеты и АРМ учителей, ученические учебные АРМ для работы: с цифровыми сетевыми образовательными ресурсами, электронными журналами, электронными учебниками... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 18 марта, 2022 · Жалоба В 18.03.2022 в 12:21, lea-nsk сказал: Иначе, может получиться не совсем хорошая ситуация, когда клиент на своей стороне будет использовать 2 канала связи с поднятой балансировкой межсетевого трафика распределённого между 2 или более провайдерами. можно вообще ничего не балансировать. Включить в ЕСПД АРМ с 4Г свистком, на арме поднять прокси/ВПН (нужное подчеркнуть) и ходить в дикие инеты с блакджеком и дамами безответственного поведения, дабы РТК ничего не смог фильтровать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 18 марта, 2022 · Жалоба On 3/18/2022 at 5:10 PM, Nickuz said: можно вообще ничего не балансировать. Включить в ЕСПД АРМ с 4Г свистком, на арме поднять прокси/ВПН (нужное подчеркнуть) и ходить в дикие инеты с блакджеком и дамами безответственного поведения, дабы РТК ничего не смог фильтровать. Это не так делается. Берется ближайшая многоэтажка, за копейки ставится сетевой wifi-мост до любого пользователя и на честных 100мбит лезем куда хотим. On 3/18/2022 at 3:29 PM, lea-nsk said: Авторы проекта ЕСПД считали Бабки они считали как распилить очередной раз. Весь проект под это заточен. On 3/18/2022 at 3:42 PM, lea-nsk said: Предполагается, что через Wi-Fi EPSD будут подключены гаджеты и АРМ учителей, ученические учебные АРМ для работы: с цифровыми сетевыми образовательными ресурсами, электронными журналами, электронными учебниками... Это у меня без них работало и толку на самом деле почти нет. Подключение АРМ учителя через wifi является извращением. Ученические учебные арм в нашем исполнении это бредятина, как и цифровые образовательные ресурсы и учебники. На практике есть некоторая польза когда у педагогов есть выданные на руки ноуты и они с ними могут сесть куда хотят, не привязываясь к стационарному месту (возможно занятому). При этом у РТК рабочий wifi это дырка в общую сеть, тогда как у меня это был изолированный сегмент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 марта, 2022 · Жалоба Вопрос не по нашей теме, но почему, целых два министерства не смогли создать контент, на которые школяры как мухи на мед сами бы полезли ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
learning Опубликовано 18 марта, 2022 (изменено) · Жалоба Здравствуйте! ЕСПД дошло до нашей сельской школы. Заранее прошу прощения за глупые вопросы, так как на IT-специалиста я не обучался, но случилось так, что меня попросили помочь школе... Приехали два спеца с ростелекома что-то накрутили, навертели, поменяли( я при этом не присутствовал). Оставили один листок где от руки написаны IP адреса фильтрованные и нефильтрованные. Подключили один wi-fi адаптер( продемонстрировали, что в дальнейшем необходимо делать с каждым маршрутизатором) и уехали.... Сегодня пришел в школу и начал разбираться. В школе порядка 7 маршрутизаторов и от них по 4 кабеля идет к ПК в класс. Три-четыре ПК успел сегодня перенастроить, вроде работает...В основном все делалось методом "тыка". Накопилось ряд вопросов: 1) Если все 28 ПК одновременно начнут активно пользоваться интернетом, не упадет ли интернет во всей школе? 2) Вайбер, я так понимаю, работать на ПК больше не будет ( у нас связь с родителями только через этот мессенджер)? Проверил телеграм, работает. 3) Смогу ли я поменять на маршрутизаторе IP на нефильтрованный? Не влетит ли школе за это? 4) Как объяснить коллегам, что скорость интернета резко упала из-за перехода на ЕСПД? 5) Какими словами объяснить для чего необходим был переход на ЕСПД? Заранее, спасибо! Изменено 18 марта, 2022 пользователем learning Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 19 марта, 2022 · Жалоба On 3/19/2022 at 3:03 AM, learning said: Накопилось ряд вопросов: Ситуация примерно такая: Если схема подключения РТК самая простая, без госуслуг и прочей фигни, то у вас есть набор IP адресов, которые работают только через прокси c КФ, и есть набор IP, где доступно более-менее всё. Вы можете на внешнем интерфейсе любого маршрутизатора прописать адрес из нужного набора и тогда всё, что сидит за маршрутизатором, пойдет либо через фильтрацию, либо без нее. Для того, чтобы за маршрутизатором на IP с фильтрацией интернет вообще был, нужно на каждом ПК будет прописать прокси. Если без фильтрации, прокси прописывать не надо. Смотрите картинку во вложении, будет примерно так, с поправкой на ваши адреса, количество роутеров и ПК. Соответственно в кабинетах информатики однозначно должны быть ПК с фильтром (прокси), остальные могут быть без. От Вас зависит правильный разбор сетевых шнурков и подключение к нужному маршрутизатору. Далее по вопросам: 1. Нет не упадет, раньше ж не падал. Рекомендую проверить скорость доступа на спидтесте с нефильтрованных компов. 2. На фильтрованных ПК вообще толком ничего не будет работать, кроме браузера и разрешенных сайтов. Хотя у меня zoom как-то запускался и даже работал. Будет ли работать то что нужно на нефильтрованных компах зависит от левой пятки РТК. Нужно проверять. Большинство простых вещей работает, возможно и Вайбер 3. Смотрите мою схему и пытайтесь для своего случая ее адаптировать. Что и как вы раздаете у себя в школе, РТК не волнует, главное соблюдение требований по ограничению доступа у детей. 4-5: Объясняете элементарно - стихийное бедствие в виде госконтракта, при котором ничего от вас не зависит. Пусть привыкают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaeskat Опубликовано 19 марта, 2022 · Жалоба On 3/18/2022 at 9:00 PM, YuryD said: Вопрос не по нашей теме, но почему, целых два министерства не смогли создать контент, на которые школяры как мухи на мед сами бы полезли ? Потому что не выходит у данилы-мастера каменный цветок. Чтобы был понятен масштаб бедствия - у нас даже содержание обычных учебников и учебную программу формирует не государство/министерство, а издательства, которые данные учебники выпускают. Министерство всего лишь проплачено одобряет или не занесли отклоняет и тогда мы имеем всякий шлак для обучения и выброшенные на помойку нормальные учебники. Нормой является выбросить учебную программу в середине цикла, то есть до 2 класса были одни учебники, а с 3 принципиально другие. Периодически целые блоки выпадают, потому что по старой программе их в этом году еще не проходили, а по новой в следующем считается что уже прошли. Появление цифрового контента ситуацию не изменило, а наоборот, ухудшило, потому что мухи из министерства залипают на слово "цифровой" и качество с содержанием их потом вообще не интересует. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...