[Angry Agent]

Фильтрация проксированием через REDIRECT работает только по HTTP, по HTTPS ничего не фильтруется

[YuryD]

В 25.10.2022 в 19:03, Angry Agent сказал:

Фильтрация проксированием через REDIRECT работает только по HTTP, по HTTPS ничего не фильтруется

я не хочу никого учить митм и подмене сертов. Это противозаконно.

[Angry Agent]

В 25.10.2022 в 17:09, YuryD сказал:

я не хочу никого учить митм и подмене сертов. Это противозаконно.

А то что РосТелеКок в принципе должен подменять серт в ЕСПД, это так никого не волнует, да?

Изменено 25 октября, 2022 пользователем Angry Agent

[YuryD]

В 25.10.2022 в 19:16, Angry Agent сказал:

А то что РосТелеКок в принципе должен подменять серт в ЕСПД, это так никого не волнует, да?

 

В kz пробовали, кому помогло ?

[Angry Agent]

В 25.10.2022 в 17:45, YuryD сказал:

В kz пробовали, кому помогло ?

Ты Казахстан с публичным удостоверяющим центром сюда вообще не приплетай, это к ЕСПД никак не относится.

[Angry Agent]

Нашёл причину, по которой РосТелеКок не фильтрует ничего.

 

Если на прокси РосТелеКока выслать CONNECT с IP-адресом хоста, то сертификат не подменивается, если выслать CONNECT с доменным именем, то прокси подменивает сертификат и фильтрует должным образом

[65465132152]

Нашел в интернете инструкции очень интересные. 

Инструкция_по_подключению_АРМ_СЗО_к_сети_ЕСПД_v.25 — копия.docx

 

Схемы сети. Инструкции, настройка оборудования и т.д. 

[65465132152]

Есть там инструкция по настройке криптошлюза.  В нем есть фаервол  и значит можно самим его донастроить. 

[Aleksandr68]

Я так понимаю по их проекту, у нас все компы должны сетевыми кабелями подключаться с прописывание статики и без какого либо вайфая? Единственное что во всем тексте нашел только вот эту цитату:

 

Цитата

Важно! Предлагаемое техническое решение не имеет DHCP сервера. На всех устройствах СЗО требуется вручную настроить адресацию или предложить СЗО использовать собственные DHCP-Сервера, где можно будет использовать часть адресов сети ЕСПД для автоматической выдачи оборудованию.

Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как?

Так свой роутер с вайфаем все таки можно юзать или нельзя?

[lalala99]

В 29.10.2022 в 17:21, Aleksandr68 сказал:

Я так понимаю по их проекту, у нас все компы должны сетевыми кабелями подключаться с прописывание статики и без какого либо вайфая? Единственное что во всем тексте нашел только вот эту цитату:

 

Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как?

Так свой роутер с вайфаем все таки можно юзать или нельзя?

На wan роутера прописываешь IP , остальное dhcp как обычно, но с прокси и сертификатом

[lea-nsk]

В 29.10.2022 в 21:21, Aleksandr68 сказал:

Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как?

Можно, см. схему

 

Со своим роутером, будет некорректно работать пользовательская сессия ЕСИА (глобальный режим).

Изменено 31 октября, 2022 пользователем lea-nsk

[Aleksandr68]

В 30.10.2022 в 23:28, lalala99 сказал:

На wan роутера прописываешь IP , остальное dhcp как обычно, но с прокси и сертификатом

Так и делаю, для основной массы компьютеров.

Базовая школа и семь филиалов. Подключение к интернету с ЕСПД в каждом филиале своё.

 

В 31.10.2022 в 09:19, lea-nsk сказал:

Можно, см. схему

Со своим роутером, будет некорректно работать пользовательская сессия ЕСИА (глобальный режим).

У нас без ЦОС подключение.

Я так понимаю что в данном случае пользовательские сессии ЕСИА пока не для нас?

[lea-nsk]

В 01.11.2022 в 21:59, Aleksandr68 сказал:

У нас без ЦОС подключение.

Всё зависит от того, входит ли ваша ОО под контракта № 1771047437522000006

https://zakupki.gov.ru/epz/contract/contractCard/document-info.html?reestrNumber=1771047437522000006&contractInfoId=74146235

 

Ваш региональный координатор по развитию ЦОС, должен был вам направить указания и инструкции касающиеся сервиса "госуслуг", где руководитель вашей ОО должен был:

- получить доступ к госулугам в качестве юр.лица ОО.

- разослать соответствующие ссылки-приглашения своим сотрудникам (через сервис госуслуги). 

Таким образом, у сотрудников ОО появляется соответствующий дополнительный доступ к соответствующему разделу госуслуг относящихся к месту работы (ОО).

 

Далее, приходит РТК, устанавливает настроенный АКПШ (кроптошлюз) и свой сервисный маршрутизатор (Eltex ESR-XX), подключая СЗО к ЕСПД (без ЦОС).

 

Именно в такой связке (АКПШ+ESR-XX) и будет работать корректно пользовательская сессия ЕСИА.

Схема подключения СЗО к ЕСПД (с ЦОС)

 

В конечном итоге, возможен вариант без применения оборудования сервисного маршрутизатора (Eltex ESR-XX) относящегося к ЦОС

 

Схема подключения СЗО к ЕСПД (без ЦОС)

 

   

   Схема переключение ЛВС СЗО на ЕСПД

 

 

 

Изменено 2 ноября, 2022 пользователем lea-nsk

[65465132152]

Что такое ЦОС?

[65465132152]

Подключили к ЕСПД все мои здания. То есть они все за разными криптошлюзами. Из одной сети в другую даже пинг не идет. Значит все таки это не такая уж и дыра как писали. 

[sdy_moscow]

В 09.11.2022 в 14:36, 65465132152 сказал:

Подключили к ЕСПД все мои здания. То есть они все за разными криптошлюзами. Из одной сети в другую даже пинг не идет. Значит все таки это не такая уж и дыра как писали. 

А они что, вам выдали прямые ИП для ваших железок?

[65465132152]

On 11/9/2022 at 3:22 PM, sdy_moscow said:

А они что, вам выдали прямые ИП для ваших железок?

10.x.x x

[lea-nsk]

В 09.11.2022 в 19:54, 65465132152 сказал:

10.x.x x

Это адрес внутренней подсети выданный ОО.

 

В 09.11.2022 в 18:36, 65465132152 сказал:

пинг не идет. Значит все таки это не такая уж и дыра как писали. 

Вам Wi-Fi (ESPD) установили?  

[65465132152]

On 11/9/2022 at 4:00 PM, lea-nsk said:

Это адрес внутренней подсети выданный ОО.

ну да внутренний. но если бы была дыра, то шел бы пинг из одной сети до другой. А тут нет.

 

On 11/9/2022 at 4:00 PM, lea-nsk said:

Вам Wi-Fi (ESPD) установили?

да. но у нас радиус авторизация на нем.

[YuryD]

В 09.11.2022 в 18:00, lea-nsk сказал:

Это адрес внутренней подсети выданный ОО.

 

 

 Это тн серая сеть, из диапазонов в rfc, типа 192.168.x.x,172.16,x.x. 10.x.x.x, приватная, и неприспособленная для выхода в инет вообще, немаршрутизуемая вне локального сегмента.

[lea-nsk]

В 09.11.2022 в 20:29, YuryD сказал:

 Это тн серая сеть, из диапазонов в rfc, типа 192.168.x.x,172.16,x.x. 10.x.x.x, приватная, и неприспособленная для выхода в инет вообще, немаршрутизуемая вне локального сегмента.

Разумеется.

 

В 09.11.2022 в 20:28, 65465132152 сказал:

да. но у нас радиус авторизация на нем.

Кто устанавливал оборудование? В проекте минцифры ЕСПД через РТ  - не используется оборудование поддерживающее радиус авторизацию. РТ основном монтирует простые ТД произведённые Eltex.

[YuryD]

В 09.11.2022 в 18:46, lea-nsk сказал:

Разумеется.

 

Кто устанавливал оборудование? В проекте минцифры ЕСПД через РТ  - не используется оборудование поддерживающее радиус авторизацию. РТ основном монтирует простые ТД произведённые Eltex.

 Это к клиенту, у него должна быть ааа своя. Радиус тут для управления железяками только. Клиент прет на портал авторизации, а уж чем портал пользует, не дело транспорта, радиус-хренариус-есиа - это личное дело клиента и сервиса.

[lea-nsk]

В 09.11.2022 в 21:09, YuryD сказал:

Это к клиенту, у него должна быть ааа своя.

Что значить быть ааа своя - вы это о чём? РТ устанавливает своё оборудование согласно проекту. Управление железяками со стороны клиента проект не предусматривает.

[YuryD]

В 09.11.2022 в 19:36, lea-nsk сказал:

Что значить быть ааа своя - вы это о чём? РТ устанавливает своё оборудование согласно проекту. Управление железяками со стороны клиента проект не предусматривает.

Ну Вы и сами ответили, управление вами их железяками не предусмотрено, а их управление своими железяками будет, но вам не пофиг, радиус там или что у них ?

[lea-nsk]

В 09.11.2022 в 21:44, YuryD сказал:

но вам не пофиг, радиус там или что у них ?

мне лично - пофиг, что они там у себя используют. Меня волнует наличие бреши в Wi-Fi (ESPD) предоставляющей свободный доступ к сетевым локальным ресурсам и интернету.

Изменено 9 ноября, 2022 пользователем lea-nsk