[lalala99]

В 02.04.2022 в 09:05, lea-nsk сказал:

Установите последнюю версию браузера. В настоящее время, для РФ, актуален yandex браузер.

 

???

[lea-nsk]

В 03.04.2022 в 02:01, lalala99 сказал:

???

Браузер - это обозреватель, применяемый для просмотра сайтов на персональных компьютерах, гаджетах с установленным Интернет-соединением.

[lalala99]

В 03.04.2022 в 08:37, lea-nsk сказал:

Браузер - это обозреватель, применяемый для просмотра сайтов на персональных компьютерах, гаджетах с установленным Интернет-соединением.

А по сути фразы можно нормально ответить

Почему актуален Я браузер для РФ? 

[rem1964]

@lalala99 Добрый день. Оставлю для Вас ссылку.  

[fedukonelove]

В 02.04.2022 в 12:04, Dasha1120 сказал:

Кто может мне ответить на вопрос, если нет оранжевой кнопки «авторизациях» что делать ? 

Попробуйте воспользоваться mozilla firefox. Там в самом браузере выскочит кнопочка авторизоваться в интернете или что-то подобное. Далее редирект на оранжевую кнопочку :)

[lalala99]

В 03.04.2022 в 14:05, rem1964 сказал:

@lalala99 Добрый день. Оставлю для Вас ссылку.  

ага, ну тогда все понятно ахаха

Тогда и на российский интернет нужно перейти..

Пользователям «Госуслуг» рекомендуют использовать браузеры, поддерживающие российский сертификат безопасности связи, такие, как «Яндекс» или «Атом». Это необходимо для лучшего доступа к порталу, в среду, 9 марта, сообщают Минцифры.

 

От создателей ""Мы стали более лучше одеваться""

 

[Saab95]

Почему не сделают легкую версию того же браузера яндекса? Без рекламы, без не нужных служб. Есть много старых слабых компьютеров и ноутбуков, на некоторых всего 2гб памяти. Браузер яндекс на них очень медленно работает, все постоянно тормозит и зависает.

[Nickuz]

В 07.04.2022 в 03:52, Saab95 сказал:

Почему не сделают легкую версию того же браузера яндекса? Без рекламы, без не нужных служб. Есть много старых слабых компьютеров и ноутбуков, на некоторых всего 2гб памяти. Браузер яндекс на них очень медленно работает, все постоянно тормозит и зависает.

это из той же оперы "почему не сделают мокротик без обновлений".

[Saab95]

Микротик тут не при делах, на нем обновления можно отключить. Просто после установки этого браузера на компьютер, на котором ранее успешно работала мозила, компьютер вообще перестал толком работать - после загрузки сразу запускается фоновый процесс яндекса, если его отключить при запуске, то он запускается после запуска браузера и так же остается всегда активным.

[Nickuz]

В 07.04.2022 в 16:18, Saab95 сказал:

Микротик тут не при делах, на нем обновления можно отключить. Просто после установки этого браузера на компьютер, на котором ранее успешно работала мозила, компьютер вообще перестал толком работать - после загрузки сразу запускается фоновый процесс яндекса, если его отключить при запуске, то он запускается после запуска браузера и так же остается всегда активным.

"Уязвимости в ПО? Нет, не слышал".

[balbes]

Есть у кого нибудь инструкиция как это с Микротиками настроить?

[lea-nsk]

В 10.04.2022 в 17:19, balbes сказал:

Есть у кого нибудь инструкиция как это с Микротиками настроить?

Настраивается по стандартной схеме подключения к обычному провайдеру.

 

В исключении проекта от минцифры использующего сервисный маршрутизатор между АПКШ "Континент" и ЛВС. Там для корректной авторизации (индивидуальные пользовательские сессии) через ЕСИА требуется прямое подключение АРМ без промежуточного маршрутизатора. 

[vibe]

Всем здравствуйте. У нас в школе тоже установили оборудование для СПД. При подключении по WI-fi не все ноутбуки подключаются, в браузере ни одна страница не открывается (сертификат устанавливаю, прокси сервер прописываю) . При этом все работает на старом интернете по Wi-fi.

Приходил специалист из РТК, пробовал настроить, но у него тоже ничего не получилось. Сказал переустанавливать Windows (Windows 7).  Переустановка помогает.

Может кто подскажет с чем это может быть связано? Может какой программы не хватает или обновления? Потому что переустановка на всех ноутбуках системы требует не мало времени.

Изменено 21 апреля, 2022 пользователем vibe

[Saab95]

Возможно вам надо просто "забыть сеть" на компьютерах. То есть очистить список подключений к сетям.

 

Например вы с ноутбуком подключаетесь в другом месте к бесплатному вайфаю, у вас вылезает окошко настройки нового места сети - вот это место у вас на ноутбуках в школе и сохранилось.

 

Ну, или как вариант, на роутере мак адрес поменять, который IP адреса раздает.

[fce]

Всем привет.
У нас отказ от ЕСПД написан, но все-таки видимо додавят. Министру образования региона на проблемы школ глубоко фиолетово.
Зам.министра с вебинара с Ростелекомом свалила в первые 4 минуты. Выступающих в трансляции было практически не слышно.
Как выразился представитель технической поддержки Ростелекома - сеть построенная с одними роутерами - это сеть на костылях, и из-за костылей в школах они не могут завершить подключение школ к ЕСПД.

Тут кратенько проблемы ЕСПД
я разделил проблемы по двум большим группам:
1.Реализация.

Доступ только через прокси.
Это частая ошибка настройки, поскольку прокси-сервер не предоставляет обработку многих протоколов,  и при текущей настройке не предоставляет многие возможности, такие как регулировка скорости, управление доступом по логину/паролю, адресам или данным аутентификации в домене.
Отсутствие прозрачного проксирования
Прозрачный режим — это автоматическое перенаправление трафика протоколов HTTP/S на порт прокси. Настройка прокси-сервера в прозрачный режим могла бы сэкономить кучу времени специалистам настраивающим ЕСПД.
Неработоспособность QoS, прочие проблемы.
Увы, прокси не в состоянии задать приоритет трафику, а  регулирование скорости (которого нет) посредством пулов вместе с контент-фильтрацией приводит к интересным проблемам в работе сервисов и сайтов, например, к зависанию форм и не оправке данных формы.
Также есть проблема с настройкой иерархии прокси-серверов, когда прокси-сервер ЕСПД выступает в роли «parent proxy»
Проблемы перенастройки
Так как прокси и шлюз прописывается вручную, то это вызывает проблемы у сотрудников использующих личные средства коммуникации в рабочих целях при переключении сетей (рабочая/домашняя)
Шлюз и маршрутизация
Отсутствие работающей маршрутизации иного трафика
Как было сказано ранее, нет маршрутизации иного трафика.
Это означает, что многие программы и устройства теряют свой функционал и  работоспособность. Например, не работает обновление роутеров, нет доступа к роутерам, не работают сервисы на самих роутерах, нет доступа к умным устройствам. Также не работают многие голосовые программы и программы критичные к сетевым задержкам, такие как Skype и прочие.
Недостаточность и ненужность выделенных адресов
На один узел подключения выделяется 60-70 адресов, но по факту компьютеров используется гораздо больше и использование адресов выделяемых ЕСПД как основных для локальной сети абсолютно неприемлемо из-за возможности доступа посторонних к локальным ресурсам.
Отсутствие маршрутов между узлами сети
Хоть сеть и называется единой, такого функционала на данный момент не предусмотрено, а в распоряжении нашей школы два подключения ЕСПД, а моста и прописанных маршрутов между ними нет, как нет и возможности белого IP, что делает создание туннеля для связи сетей невозможным.
Отсутствие возможности подключить белый IP
Многие интернет-компании покидают российский рынок, в связи с этим могут начаться проблемы с хостингом сайтов, в связи с чем многие школы могли бы на своей базе поднять свой сайт и иметь полный контроль и управление веб-сервером без ограничения места и применяемых технологий, с учетом того что школьные сайты не самые посещаемые ресурсы, то вполне рабочий и адекватный вариант. Также при необходимостиможно  поднять свое облако и среды обучения позволяющие школе работать без проблем на дистанционном обучении. Статический адрес у ЕСПД недоступен, что делает не возможным простое подключение с использование открытого софта  к своим ресурсам для управления и адресной удаленной помощи.
Ограничение трафика.
Заявлены ограничения трафика, интересно на каком уровне планировалось. Хотя как показывает практика, трафик основного задания не превышает 300Гб/месяц, это такие сущие копейки, дома за месяц трафика больше уходит.

Фильтрация
Отсутствие управления фильтрами
Это очень серьезная проблема, поскольку при обнаружении недопустимых ресурсов, нет возможности оперативно включить ограничение доступа. Так же и для обратной ситуации при ложной блокировке нет возможности разблокировать необходимый ресурс. К тому же количество профилей фильтрации очень мало — на данный момент всего два — административный (без всякой фильтрации) и фильтр с вскрытием трафика посредством MITM-атаки.
Отсутствие просмотра статистических данных
Невозможно просмотреть данные по блокировкам, объему данных, скорости и т. д. И даже при предоставлении подобной возможности, данные будут некорректны из-за подключения локальной сети через NAT роутеров.
Недоработки фильтра.
Увы, но даже с вскрытием защищенного трафика MITM-атакой, все равно есть возможность получить доступ к закрытым сайтам и ресурсам. По конкретной реализации подсказывать я не буду, пусть работают соответствующие специалисты, но за долгое время пока администрировал собственную систему фильтрации на основе СПО (Linux, Squid, Dansguardian, OpenSSL) я уже насмотрелся на очень извращенные способы обхода фильтров.
Mitm-ataka
Как же все хотят залезть в защищенный трафик, но одно дело когда подобное делается на своем местном сервере с полностью отключенными журналами и с сервером стоящем в недоступном месте и другое дело — когда сервер где-то и непонятно с каким доступом и с кого потом спрашивать за уплывшие пароли.
Нет возможности использовать DNS-фильтрацию на административных машинах.
И прописать хотя бы ЯндексДНС на роутере не представляется возможным, так как доменные имена резолвятся на прокси, а роутер упорно твердит, что сервис DNS не доступен, так как не работает через прокси.
Ширина канала.
В фиксированных цифрах выглядит замечательно, а по факту в одном здании 100 компьютеров на 50 мбит/с, а в другом 4 компьютера на 50 мбит/с. Понятно, что с учетом фильтрации интернет будет гораздо быстрее в сети с 4 компьютерами.
А в здании с  100 компьютерами превратится в улитку, поскольку встроенные средства QoS в роутер просто не работают в совокупности с ЕСПД, хотя до этого интернет стабильно работал на 30мбит/с.
На коммерческом соединении школа может выбирать провайдера по качеству предоставления услуги, скорость по тарифу, дополнительные опции.  Не в обиду сказано, но Ростелеком хоть и крупный провайдер, но по качеству далеко не первый, к тому же поддержка превратилась в эшелонированную оборону голосовых ботов, через которую невозможно прорваться в разумное время, чтобы оставить заявку на ремонт.

2.Поддержка.
Информационная поддержка.
Отсутствие необходимой документации и информации на местах.
Да, как ни странно, никто не озаботился предоставить полный пакет информации школам.
Нет технической информации о настройке, о правовых аспектах.
Техническая поддержка
Очень медлительная и некомпетентная техподдержка, отсылающая в Министерство Образования, Минцифры и т.д. Отсутствует передача информации о нерешаемых проблемах с первых уровней техподдержки выше до ответственных лиц в министерствах и ведомствах.
При первом подключении ЕСПД шлюз работал как положено, роутеры были доступны через Интернет, Skype и остальные приложения в сети работали.
Я задал вопрос (запись телефонного разговора у меня есть)  в техподдержке, можно ли использовать чисто шлюз без прокси-сервера для административных машин и пустить трафик от остальных на прокси, меня заверили что да, все будет работать и проблем не будет. Какое было удивление, когда в понедельник от Интернет в школе и следа не осталось, так как весь трафик был перенастроен уже на прокси-сервер. Пришлось вернуться к старому подключению.
Раз компания предоставляет некачественную услугу, а я говорю сейчас о неработающих роутерах, обновлениях, программах, то должна в рамках техподдержки сделать все, чтобы у нас не было этих проблем.
За эталон я беру обычное коммерческое подключение к Интернет. Я просто подсоединил роутер, настроил и все работает.
Увы, в ЕСПД это не работает, множество функций не работает.
Например, в административном сегменте трафик не фильтруется, а так как он идет через прокси, то вариант фильтрации средствами роутера вообще отпадает, как и средствами ОС, к тому же не работает удаленное управление, не работают обновления.
Звоню в  техподдержку, прошу открыть доступ для административного сегмента через шлюз,а дальше начинается…
Открытый доступ мы вам не дадим, не положено, хотя в контракте п.5.9 написано обеспечить доступ административного сегмента без контент-фильтрации, а фильтрация по портам — одна из частей контент-фильтрации. Вот это поворот…
Далее мы вам можем открыть определенные порты на определенные адреса, но вы должны нам их дать.
И все бы хорошо, но вопрос где взять эту информацию, если производитель оборудования/ПО ушел с рынка и/или не оказывает техподдержку, и почему школа должна заниматься  реверс-инженирингом протоколов обмена, если на коммерческом подключении все работает как надо, в техподдержке тоже остался без ответа. Школа только должна сообщить в техподдержку модель и марку устройства или название и версию ПО, а дальше пусть техподдержка занимается делом, а  не перекладывает это на плечи школы.


Итоги.
Все вышесказанное  и вызвало наш отказ от подключения к ЕСПД.
И только с отказом начались какие-то подвижки в сторону  признания проблем и недоработки ЕСПД, но вебинар показал, что их решать никто не собирается, будут силовыми методами давить несогласных с такой политикой и говно-услугой.
На моей памяти это уже не первый проект подключения школ по госпрограммам к сети Интернет, и все до этого оказались провальными. Причин провала было две — низкие скорости и неуправляемая фильтрация трафика, но даже там до такого (доступ только через прокси-сервер) не доходило.
Тут точно также, невозможность выбрать скорость, опции подключения и неуправляемый фильтр настроенный с «синдромом вахтера».

И это вас ждет.
Если у нас останется нормальный интернет, то я просто подключу SKYDNS на платной основе 16000р за 50 компьютеров и не буду ломать голову фильтрацией, сейчас они хорошо подтянули фильтрацию, в том числе и контекстную, вдобавок входят в реестр российского ПО.
Сейчас же рассматриваю и готовлюсь к худшему развитию событий, т.е. внедрению ЕСПД, а прописывать прокси на каждой машине мне не упало, поэтому рассматриваю возможность шлюза на прозрачном прокси с указанным родительским и возможность использования программ типа proxifier или чего-нибудь самобытного.

Смотря на то, по каким ресурсам проверятся работоспособность ЕСПД, так и мелькает мысль, что у какой-то шишки танкист из WOT жену увел.
В общем, дожили до железного занавеса, обходится конечно, дети сильно старались по обходу dansguardian, так что наработки есть.

А и качество фильтра ЕСПД говно, выдает и самострелы и много чего еще, так что прокуратуре можно и не напрягаться, а если сесть за административную машину, то там вообще шоколад - вся фильтрация отключена, а доступ только через прокси, Вопрос: "Почему бы не оставить доступ через шлюз в административной сети?" остается открытым.

Так что держитесь, хотя из несколько сотен школ в регионе только 11 написали отказ, т.е остальные сотни школ пошли как кролики на убой.

[fce]

В 07.04.2022 в 01:52, Saab95 сказал:

Почему не сделают легкую версию того же браузера яндекса? Без рекламы, без не нужных служб. Есть много старых слабых компьютеров и ноутбуков, на некоторых всего 2гб памяти. Браузер яндекс на них очень медленно работает, все постоянно тормозит и зависает.

"Сытый голодному не верит".
Просто нет такого парка компьютеров у разработчиков всех этих "систем",  для нас неактуально, так как за прошедшие два года все наши потребности были закрытыми почти 80 новыми компьютерами, благодаря чему смог отправить на пенсию целый класс из третьих пентиумов (600Мгц,128мб озу и 16мб VGA, 20ГБ HDD) с самопальным терминальным сервером на древнем лине.
Так тут  ЕСПД и подоспела, будь она проклята вместе со своими разрабами.

Изменено 25 апреля, 2022 пользователем fce

[Nickuz]

В 26.04.2022 в 02:00, fce сказал:

Тут кратенько проблемы ЕСПД
я разделил проблемы по двум большим группам:

ну это же прямо плач Ярославны какой-то ))

В 26.04.2022 в 02:00, fce сказал:

Так как прокси и шлюз прописывается вручную

простите, а кто мешает вам в вашу сеть воткнуть DHCP сервер?

В 26.04.2022 в 02:00, fce сказал:

На один узел подключения выделяется 60-70 адресов, но по факту компьютеров используется гораздо больше

я так понимаю, что вы из сельской местности, там действительно, резали и по /25, и по /26, что явно недостаточно. Только вот присваивать каждому локальному ПК адрес из ЕСПД - это самоубийство, дальше расскажу, откуда готовилось нападение на Беларусь почему

В 26.04.2022 в 02:00, fce сказал:

Хоть сеть и называется единой, такого функционала на данный момент не предусмотрено

связность "точка с точкой" прописана в техническом задании к госконтракту, поэтому если у вас что-то не работает - телепайте ростелек. Именно поэтому включать голой задницей хосты в ЕСПД - это самоубийство. Сейчас там сотнями торчат шары без авторизации, принтеры, на которых можно печатать всё, что угодно, откуда угодно, видеорегистраторы с заводскими учётками

В 26.04.2022 в 02:00, fce сказал:

Заявлены ограничения трафика, интересно на каком уровне планировалось.

ни на каком не планировалось. Читаем ТЗ.

В 26.04.2022 в 02:00, fce сказал:

В фиксированных цифрах выглядит замечательно, а по факту в одном здании 100 компьютеров на 50 мбит/с

в 5 зданиях под 2 сотни хостов, все в пике кушают до 10 Мбит. У вас в 50 Мбит затык. Что вы там качаете? Может, аппетиты начать урезать?

В 26.04.2022 в 02:00, fce сказал:

За эталон я беру обычное коммерческое подключение к Интернет. Я просто подсоединил роутер, настроил и все работает.

Не надо путать тёплое с мягким. Задача КСПДшных сетей - обеспечить связность ВНУТРИ сетей. Доступ к экстранету - это уже задача владельца КСПД. Который сейчас ни ухом ни рылом ни про безопасность, ни про авторизацию, ни про защиту от внешних угроз не понимает. Мадамы из министерства транслируют указявки в районы, районы - в школы. Бюрократус обыкновенус.

В 26.04.2022 в 02:00, fce сказал:

многие школы могли бы на своей базе поднять свой сайт и иметь полный контроль и управление веб-сервером без ограничения места и применяемых технологий

а отвечать за последствия хакерских атак на такие вот наколенные поделки Вы лично готовы? Или последствия недоступности сайта (электрик в щитке автоматы менял, уборщица кабель выдернула, можно вписать свой вариант)

В 26.04.2022 в 02:00, fce сказал:

из-за подключения локальной сети через NAT роутеров.

погодите, так вы втыкаетесь напрямую в ЕСПД, или всё-таки локалка у вас спрятана за НАТом? Уже надо определиться...

В 26.04.2022 в 02:00, fce сказал:

А и качество фильтра ЕСПД говно, выдает и самострелы и много чего еще, так что прокуратуре можно и не напрягаться, а если сесть за административную машину, то там вообще шоколад - вся фильтрация отключена, а доступ только через прокси, Вопрос: "Почему бы не оставить доступ через шлюз в административной сети?" остается открытым.

в любом случае, какая бы фильтрация выше не стояла - свой фильтр у вас обязан быть. И для отмаза от прокуроров, и для перекрытия WindowsUpdate. Кстати, все ведь уже заблочили по письму ФСТЭК ТОРовские ноды? Их там всего-то 16 тыщ с лихуем штук.

Я не за ЕСПД, и не против. Гладко было на бумаге, но забыли про овраги. Как минимум, на уровне каждого региона должен быть свой центр, который будет принимать решения по эксплуатации, безопасности, внутрисетевым ресурсам (почтовые серверы, ау, где вы?). Но их как не было 10 лет назад, так не появилось и сейчас.

[ixi]

В 26.04.2022 в 00:00, fce сказал:

Тут кратенько проблемы ЕСПД

ЕСПД это, конечно, та ещё бяка, но: не ожидайте от РТ (и любого другого оператора) настройки вашей сети. Прозрачный прокси, аутентификация, ограничение скорости, статистика и всё прочее -- настраивайте как хотите, своими специалистами, внутри своей сети и на своём оборудовании.

 

[fce]

В 26.04.2022 в 10:30, ixi сказал:

ЕСПД это, конечно, та ещё бяка, но: не ожидайте от РТ (и любого другого оператора) настройки вашей сети. Прозрачный прокси, аутентификация, ограничение скорости, статистика и всё прочее -- настраивайте как хотите, своими специалистами, внутри своей сети и на своём оборудовании.

Вот именно, что всё настроено и работает с текущим коммерческим подключением. Но с ЕСПД полный мрак, так как ЕСПД рушит сами принципы построения сетей. Если вы имеете ввиду регулировку скорости с помощью delaypools на прокси, можно сказать с нормальным QOS который предоставляет любой роутер, delaypools и рядом не стояла.
 

[ixi]

В 26.04.2022 в 11:42, fce сказал:

Если вы имеете ввиду регулировку скорости с помощью delaypools на прокси

Без вариантов, увы.

 

Уже отмечалось в этой теме, прокси -- простое, надёжное и дешёвое решение. Декларируется второй пункт, решает третий. Всё остальное вторично.

[fce]

В 26.04.2022 в 05:52, Nickuz сказал:

ну это же прямо плач Ярославны какой-то ))

простите, а кто мешает вам в вашу сеть воткнуть DHCP сервер?

я так понимаю, что вы из сельской местности, там действительно, резали и по /25, и по /26, что явно недостаточно. Только вот присваивать каждому локальному ПК адрес из ЕСПД - это самоубийство, дальше расскажу, откуда готовилось нападение на Беларусь почему

связность "точка с точкой" прописана в техническом задании к госконтракту, поэтому если у вас что-то не работает - телепайте ростелек. Именно поэтому включать голой задницей хосты в ЕСПД - это самоубийство. Сейчас там сотнями торчат шары без авторизации, принтеры, на которых можно печатать всё, что угодно, откуда угодно, видеорегистраторы с заводскими учётками

ни на каком не планировалось. Читаем ТЗ.

в 5 зданиях под 2 сотни хостов, все в пике кушают до 10 Мбит. У вас в 50 Мбит затык. Что вы там качаете? Может, аппетиты начать урезать?

Не надо путать тёплое с мягким. Задача КСПДшных сетей - обеспечить связность ВНУТРИ сетей. Доступ к экстранету - это уже задача владельца КСПД. Который сейчас ни ухом ни рылом ни про безопасность, ни про авторизацию, ни про защиту от внешних угроз не понимает. Мадамы из министерства транслируют указявки в районы, районы - в школы. Бюрократус обыкновенус.

а отвечать за последствия хакерских атак на такие вот наколенные поделки Вы лично готовы? Или последствия недоступности сайта (электрик в щитке автоматы менял, уборщица кабель выдернула, можно вписать свой вариант)

погодите, так вы втыкаетесь напрямую в ЕСПД, или всё-таки локалка у вас спрятана за НАТом? Уже надо определиться...

в любом случае, какая бы фильтрация выше не стояла - свой фильтр у вас обязан быть. И для отмаза от прокуроров, и для перекрытия WindowsUpdate. Кстати, все ведь уже заблочили по письму ФСТЭК ТОРовские ноды? Их там всего-то 16 тыщ с лихуем штук.

Я не за ЕСПД, и не против. Гладко было на бумаге, но забыли про овраги. Как минимум, на уровне каждого региона должен быть свой центр, который будет принимать решения по эксплуатации, безопасности, внутрисетевым ресурсам (почтовые серверы, ау, где вы?). Но их как не было 10 лет назад, так не появилось и сейчас.

В моей сети есть все, что мне нужно - доступ к внутренним ресурсам из интернет, DHCP, контент-фильтр с профилями, удаленное управление сетью,  нормальный QOS для регулировки трафика и бесшовная Mesh Wi-Fi сеть.
В ЕСПД моя сеть будет подключаться только через жесткий NAT  и никак иначе.

Насчет своего фильтра - ни один более-менее нормальный  фильтр с ЕСПД не работает, городить свой огород не имеет смысла, так как есть ТЗ с госконтрактом в котором указывается фильтрация, так что пусть прокуратура пишет предписания, а платить будем из бюджета, мы ведь его "экономим" подключая ЕСПД.

Насчет сайта на домашнем сервере, держал я уже пару таких сайтов, пока была актуальность, прекрасно все работает, да, есть некоторые проблемы с доступностью при обрыве магистральных линий связи. Но для сайта, у которого 30-100 посетителей за день большего и не надо. А хакерские атаки, ну так администрируйте сайт  и сервер как положено и спите спокойно.

Обеспечения ЕСПД связности сетей, не совсем понимаю каким боком к этому доступ только через прокси-сервер и фильтрация. Сделали бы внутренние подсети, разграничили на уровне правил Firewall, а вторым бы этапом вводили  настраиваемый фильтр с профилями уровня SkyDns.

Что касается скоростей, мне дома 12мбит/с не хватает, а вы для школы хотите.
В школе 2K (75 дюймов) интерактивные панели (предлагаете видео в SD на них выводить?), в каждом классе проекторы, онлайн-обучение,  учителя очень активно используют видеоресурсы в своей работе, компьютерные классы. И чтобы всем хватало трафика, настроена QOS, причем не просто скорость настроена, в том числе и приоритетность трафика. Потребление трафика очень нестабильное, во время уроков канал забит в 100%, на переменах меньше 10%, после уроков вообще около нуля. Также  в сеть заведены телефоны учителей с ограничением в 1мбит/с, которое корректируется по итогам потребления.

Касательно фильтрации трафика, я далеко не новичок, у меня долгое время (с 2010 года) исправно работала связка  Squid c редиректором поисковых запросов + Dansguardian. Своими наработками я делился на специально созданном сайте, который забросил много лет назад, как и проект веб-интерфейса для Dansguardian. Удивительно, но сайт все еще работает, так как видимо хватает посещаемости для того чтобы не удалили.
Поэтому я прекрасно знаю, о чем говорю, как это работает, и как это обходится.

Что касается ЕСПД, я тоже не против системы, я против текущей реализации, меня бы устроила небольшая уступка - сделать прозрачный прокси для административного сегмента, а весь другой административный трафик пустить через шлюз.
Вот и все - остальная настройка займет совсем немного времени с помощью  линуксового сервера и опции tcp_outgoing_address для Squid, и доступ к внутренним ресурсам останется, и не нужно торчать всеми компами в сети ЕСПД и на роутерах внутри сети будут работать свои сервисы фильтрации и прочие плюшки.

 

Изменено 26 апреля, 2022 пользователем fce

[Nickuz]

на такое, боюсь, нужен отдельный госконтракт, где единственным заказчиком будете только вы. Инициатива, она, знаете, иногда начинает трахать инициатора.

[NarkoHeal]

В 26.04.2022 в 00:00, fce сказал:

Всем привет.
У нас отказ от ЕСПД написан, но все-таки видимо додавят. Министру образования региона на проблемы школ глубоко фиолетово.
Зам.министра с вебинара с Ростелекомом свалила в первые 4 минуты. Выступающих в трансляции было практически не слышно.
Как выразился представитель технической поддержки Ростелекома - сеть построенная с одними роутерами - это сеть на костылях, и из-за костылей в школах они не могут завершить подключение школ к ЕСПД.

Тут кратенько проблемы ЕСПД
я разделил проблемы по двум большим группам:
1.Реализация.

Доступ только через прокси.
Это частая ошибка настройки, поскольку прокси-сервер не предоставляет обработку многих протоколов,  и при текущей настройке не предоставляет многие возможности, такие как регулировка скорости, управление доступом по логину/паролю, адресам или данным аутентификации в домене.
Отсутствие прозрачного проксирования
Прозрачный режим — это автоматическое перенаправление трафика протоколов HTTP/S на порт прокси. Настройка прокси-сервера в прозрачный режим могла бы сэкономить кучу времени специалистам настраивающим ЕСПД.
Неработоспособность QoS, прочие проблемы.
Увы, прокси не в состоянии задать приоритет трафику, а  регулирование скорости (которого нет) посредством пулов вместе с контент-фильтрацией приводит к интересным проблемам в работе сервисов и сайтов, например, к зависанию форм и не оправке данных формы.
Также есть проблема с настройкой иерархии прокси-серверов, когда прокси-сервер ЕСПД выступает в роли «parent proxy»
Проблемы перенастройки
Так как прокси и шлюз прописывается вручную, то это вызывает проблемы у сотрудников использующих личные средства коммуникации в рабочих целях при переключении сетей (рабочая/домашняя)
Шлюз и маршрутизация
Отсутствие работающей маршрутизации иного трафика
Как было сказано ранее, нет маршрутизации иного трафика.
Это означает, что многие программы и устройства теряют свой функционал и  работоспособность. Например, не работает обновление роутеров, нет доступа к роутерам, не работают сервисы на самих роутерах, нет доступа к умным устройствам. Также не работают многие голосовые программы и программы критичные к сетевым задержкам, такие как Skype и прочие.
Недостаточность и ненужность выделенных адресов
На один узел подключения выделяется 60-70 адресов, но по факту компьютеров используется гораздо больше и использование адресов выделяемых ЕСПД как основных для локальной сети абсолютно неприемлемо из-за возможности доступа посторонних к локальным ресурсам.
Отсутствие маршрутов между узлами сети
Хоть сеть и называется единой, такого функционала на данный момент не предусмотрено, а в распоряжении нашей школы два подключения ЕСПД, а моста и прописанных маршрутов между ними нет, как нет и возможности белого IP, что делает создание туннеля для связи сетей невозможным.
Отсутствие возможности подключить белый IP
Многие интернет-компании покидают российский рынок, в связи с этим могут начаться проблемы с хостингом сайтов, в связи с чем многие школы могли бы на своей базе поднять свой сайт и иметь полный контроль и управление веб-сервером без ограничения места и применяемых технологий, с учетом того что школьные сайты не самые посещаемые ресурсы, то вполне рабочий и адекватный вариант. Также при необходимостиможно  поднять свое облако и среды обучения позволяющие школе работать без проблем на дистанционном обучении. Статический адрес у ЕСПД недоступен, что делает не возможным простое подключение с использование открытого софта  к своим ресурсам для управления и адресной удаленной помощи.
Ограничение трафика.
Заявлены ограничения трафика, интересно на каком уровне планировалось. Хотя как показывает практика, трафик основного задания не превышает 300Гб/месяц, это такие сущие копейки, дома за месяц трафика больше уходит.

Фильтрация
Отсутствие управления фильтрами
Это очень серьезная проблема, поскольку при обнаружении недопустимых ресурсов, нет возможности оперативно включить ограничение доступа. Так же и для обратной ситуации при ложной блокировке нет возможности разблокировать необходимый ресурс. К тому же количество профилей фильтрации очень мало — на данный момент всего два — административный (без всякой фильтрации) и фильтр с вскрытием трафика посредством MITM-атаки.
Отсутствие просмотра статистических данных
Невозможно просмотреть данные по блокировкам, объему данных, скорости и т. д. И даже при предоставлении подобной возможности, данные будут некорректны из-за подключения локальной сети через NAT роутеров.
Недоработки фильтра.
Увы, но даже с вскрытием защищенного трафика MITM-атакой, все равно есть возможность получить доступ к закрытым сайтам и ресурсам. По конкретной реализации подсказывать я не буду, пусть работают соответствующие специалисты, но за долгое время пока администрировал собственную систему фильтрации на основе СПО (Linux, Squid, Dansguardian, OpenSSL) я уже насмотрелся на очень извращенные способы обхода фильтров.
Mitm-ataka
Как же все хотят залезть в защищенный трафик, но одно дело когда подобное делается на своем местном сервере с полностью отключенными журналами и с сервером стоящем в недоступном месте и другое дело — когда сервер где-то и непонятно с каким доступом и с кого потом спрашивать за уплывшие пароли.
Нет возможности использовать DNS-фильтрацию на административных машинах.
И прописать хотя бы ЯндексДНС на роутере не представляется возможным, так как доменные имена резолвятся на прокси, а роутер упорно твердит, что сервис DNS не доступен, так как не работает через прокси.
Ширина канала.
В фиксированных цифрах выглядит замечательно, а по факту в одном здании 100 компьютеров на 50 мбит/с, а в другом 4 компьютера на 50 мбит/с. Понятно, что с учетом фильтрации интернет будет гораздо быстрее в сети с 4 компьютерами.
А в здании с  100 компьютерами превратится в улитку, поскольку встроенные средства QoS в роутер просто не работают в совокупности с ЕСПД, хотя до этого интернет стабильно работал на 30мбит/с.
На коммерческом соединении школа может выбирать провайдера по качеству предоставления услуги, скорость по тарифу, дополнительные опции.  Не в обиду сказано, но Ростелеком хоть и крупный провайдер, но по качеству далеко не первый, к тому же поддержка превратилась в эшелонированную оборону голосовых ботов, через которую невозможно прорваться в разумное время, чтобы оставить заявку на ремонт.

2.Поддержка.
Информационная поддержка.
Отсутствие необходимой документации и информации на местах.
Да, как ни странно, никто не озаботился предоставить полный пакет информации школам.
Нет технической информации о настройке, о правовых аспектах.
Техническая поддержка
Очень медлительная и некомпетентная техподдержка, отсылающая в Министерство Образования, Минцифры и т.д. Отсутствует передача информации о нерешаемых проблемах с первых уровней техподдержки выше до ответственных лиц в министерствах и ведомствах.
При первом подключении ЕСПД шлюз работал как положено, роутеры были доступны через Интернет, Skype и остальные приложения в сети работали.
Я задал вопрос (запись телефонного разговора у меня есть)  в техподдержке, можно ли использовать чисто шлюз без прокси-сервера для административных машин и пустить трафик от остальных на прокси, меня заверили что да, все будет работать и проблем не будет. Какое было удивление, когда в понедельник от Интернет в школе и следа не осталось, так как весь трафик был перенастроен уже на прокси-сервер. Пришлось вернуться к старому подключению.
Раз компания предоставляет некачественную услугу, а я говорю сейчас о неработающих роутерах, обновлениях, программах, то должна в рамках техподдержки сделать все, чтобы у нас не было этих проблем.
За эталон я беру обычное коммерческое подключение к Интернет. Я просто подсоединил роутер, настроил и все работает.
Увы, в ЕСПД это не работает, множество функций не работает.
Например, в административном сегменте трафик не фильтруется, а так как он идет через прокси, то вариант фильтрации средствами роутера вообще отпадает, как и средствами ОС, к тому же не работает удаленное управление, не работают обновления.
Звоню в  техподдержку, прошу открыть доступ для административного сегмента через шлюз,а дальше начинается…
Открытый доступ мы вам не дадим, не положено, хотя в контракте п.5.9 написано обеспечить доступ административного сегмента без контент-фильтрации, а фильтрация по портам — одна из частей контент-фильтрации. Вот это поворот…
Далее мы вам можем открыть определенные порты на определенные адреса, но вы должны нам их дать.
И все бы хорошо, но вопрос где взять эту информацию, если производитель оборудования/ПО ушел с рынка и/или не оказывает техподдержку, и почему школа должна заниматься  реверс-инженирингом протоколов обмена, если на коммерческом подключении все работает как надо, в техподдержке тоже остался без ответа. Школа только должна сообщить в техподдержку модель и марку устройства или название и версию ПО, а дальше пусть техподдержка занимается делом, а  не перекладывает это на плечи школы.


Итоги.
Все вышесказанное  и вызвало наш отказ от подключения к ЕСПД.
И только с отказом начались какие-то подвижки в сторону  признания проблем и недоработки ЕСПД, но вебинар показал, что их решать никто не собирается, будут силовыми методами давить несогласных с такой политикой и говно-услугой.
На моей памяти это уже не первый проект подключения школ по госпрограммам к сети Интернет, и все до этого оказались провальными. Причин провала было две — низкие скорости и неуправляемая фильтрация трафика, но даже там до такого (доступ только через прокси-сервер) не доходило.
Тут точно также, невозможность выбрать скорость, опции подключения и неуправляемый фильтр настроенный с «синдромом вахтера».

И это вас ждет.
Если у нас останется нормальный интернет, то я просто подключу SKYDNS на платной основе 16000р за 50 компьютеров и не буду ломать голову фильтрацией, сейчас они хорошо подтянули фильтрацию, в том числе и контекстную, вдобавок входят в реестр российского ПО.
Сейчас же рассматриваю и готовлюсь к худшему развитию событий, т.е. внедрению ЕСПД, а прописывать прокси на каждой машине мне не упало, поэтому рассматриваю возможность шлюза на прозрачном прокси с указанным родительским и возможность использования программ типа proxifier или чего-нибудь самобытного.

Смотря на то, по каким ресурсам проверятся работоспособность ЕСПД, так и мелькает мысль, что у какой-то шишки танкист из WOT жену увел.
В общем, дожили до железного занавеса, обходится конечно, дети сильно старались по обходу dansguardian, так что наработки есть.

А и качество фильтра ЕСПД говно, выдает и самострелы и много чего еще, так что прокуратуре можно и не напрягаться, а если сесть за административную машину, то там вообще шоколад - вся фильтрация отключена, а доступ только через прокси, Вопрос: "Почему бы не оставить доступ через шлюз в административной сети?" остается открытым.

Так что держитесь, хотя из несколько сотен школ в регионе только 11 написали отказ, т.е остальные сотни школ пошли как кролики на убой.

Оно, конечно, работает все через *опу, но часть проблем можно решить своим прокси (можно и squid) и умелым заворачиванием трафика на него через iptables. В общем то итоге понадобится только установка своего сертификата на весь зоопарк. А с административным парком вообще ничего не понадобится делать. А без Ната я бы не стал свою сеть втыкать в еспд... Но если уж на то пошло, можно dhcp настроить на раздачу настроек от еспд.
Пока в еспд появилась новая проблема в один прекрасный день. При большем количестве запросов с ip, которые не имеют фильтрацию, прокси перестает принимать соединения с ip на которых должна работать фильтрация. С ростелекомом бодался по этому поводу, они - я не я, хата не моя.

[serdgio2006]

Данная сеть ЕСПД на основе какого контракта строительства? :)

[lea-nsk]

В 11.05.2022 в 05:48, serdgio2006 сказал:

Данная сеть ЕСПД на основе какого контракта строительства? :)

Контракт № 0410/151, Заказчик: МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

https://zakupki.gov.ru/epz/contract/contractCard/document-info.html?reestrNumber=1771047437522000006&contractInfoId=70691942