Angry Agent Опубликовано 25 октября, 2022 · Жалоба Фильтрация проксированием через REDIRECT работает только по HTTP, по HTTPS ничего не фильтруется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 19:03, Angry Agent сказал: Фильтрация проксированием через REDIRECT работает только по HTTP, по HTTPS ничего не фильтруется я не хочу никого учить митм и подмене сертов. Это противозаконно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 25 октября, 2022 (изменено) · Жалоба В 25.10.2022 в 17:09, YuryD сказал: я не хочу никого учить митм и подмене сертов. Это противозаконно. А то что РосТелеКок в принципе должен подменять серт в ЕСПД, это так никого не волнует, да? Изменено 25 октября, 2022 пользователем Angry Agent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 25 октября, 2022 · Жалоба В 25.10.2022 в 19:16, Angry Agent сказал: А то что РосТелеКок в принципе должен подменять серт в ЕСПД, это так никого не волнует, да? В kz пробовали, кому помогло ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 27 октября, 2022 · Жалоба В 25.10.2022 в 17:45, YuryD сказал: В kz пробовали, кому помогло ? Ты Казахстан с публичным удостоверяющим центром сюда вообще не приплетай, это к ЕСПД никак не относится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Angry Agent Опубликовано 27 октября, 2022 · Жалоба Нашёл причину, по которой РосТелеКок не фильтрует ничего. Если на прокси РосТелеКока выслать CONNECT с IP-адресом хоста, то сертификат не подменивается, если выслать CONNECT с доменным именем, то прокси подменивает сертификат и фильтрует должным образом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 28 октября, 2022 · Жалоба Нашел в интернете инструкции очень интересные. Инструкция_по_подключению_АРМ_СЗО_к_сети_ЕСПД_v.25 — копия.docx Схемы сети. Инструкции, настройка оборудования и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 29 октября, 2022 · Жалоба Есть там инструкция по настройке криптошлюза. В нем есть фаервол и значит можно самим его донастроить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksandr68 Опубликовано 29 октября, 2022 · Жалоба Я так понимаю по их проекту, у нас все компы должны сетевыми кабелями подключаться с прописывание статики и без какого либо вайфая? Единственное что во всем тексте нашел только вот эту цитату: Цитата Важно! Предлагаемое техническое решение не имеет DHCP сервера. На всех устройствах СЗО требуется вручную настроить адресацию или предложить СЗО использовать собственные DHCP-Сервера, где можно будет использовать часть адресов сети ЕСПД для автоматической выдачи оборудованию. Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как? Так свой роутер с вайфаем все таки можно юзать или нельзя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lalala99 Опубликовано 30 октября, 2022 · Жалоба В 29.10.2022 в 17:21, Aleksandr68 сказал: Я так понимаю по их проекту, у нас все компы должны сетевыми кабелями подключаться с прописывание статики и без какого либо вайфая? Единственное что во всем тексте нашел только вот эту цитату: Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как? Так свой роутер с вайфаем все таки можно юзать или нельзя? На wan роутера прописываешь IP , остальное dhcp как обычно, но с прокси и сертификатом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 31 октября, 2022 (изменено) · Жалоба В 29.10.2022 в 21:21, Aleksandr68 сказал: Которая говорит, что все таки что то можно использовать. Но не совсем понятно, что можно использовать и как? Можно, см. схему Со своим роутером, будет некорректно работать пользовательская сессия ЕСИА (глобальный режим). Изменено 31 октября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksandr68 Опубликовано 1 ноября, 2022 · Жалоба В 30.10.2022 в 23:28, lalala99 сказал: На wan роутера прописываешь IP , остальное dhcp как обычно, но с прокси и сертификатом Так и делаю, для основной массы компьютеров. Базовая школа и семь филиалов. Подключение к интернету с ЕСПД в каждом филиале своё. В 31.10.2022 в 09:19, lea-nsk сказал: Можно, см. схему Со своим роутером, будет некорректно работать пользовательская сессия ЕСИА (глобальный режим). У нас без ЦОС подключение. Я так понимаю что в данном случае пользовательские сессии ЕСИА пока не для нас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 2 ноября, 2022 (изменено) · Жалоба В 01.11.2022 в 21:59, Aleksandr68 сказал: У нас без ЦОС подключение. Всё зависит от того, входит ли ваша ОО под контракта № 1771047437522000006 https://zakupki.gov.ru/epz/contract/contractCard/document-info.html?reestrNumber=1771047437522000006&contractInfoId=74146235 Ваш региональный координатор по развитию ЦОС, должен был вам направить указания и инструкции касающиеся сервиса "госуслуг", где руководитель вашей ОО должен был: - получить доступ к госулугам в качестве юр.лица ОО. - разослать соответствующие ссылки-приглашения своим сотрудникам (через сервис госуслуги). Таким образом, у сотрудников ОО появляется соответствующий дополнительный доступ к соответствующему разделу госуслуг относящихся к месту работы (ОО). Далее, приходит РТК, устанавливает настроенный АКПШ (кроптошлюз) и свой сервисный маршрутизатор (Eltex ESR-XX), подключая СЗО к ЕСПД (без ЦОС). Именно в такой связке (АКПШ+ESR-XX) и будет работать корректно пользовательская сессия ЕСИА. Схема подключения СЗО к ЕСПД (с ЦОС) В конечном итоге, возможен вариант без применения оборудования сервисного маршрутизатора (Eltex ESR-XX) относящегося к ЦОС Схема подключения СЗО к ЕСПД (без ЦОС) Схема переключение ЛВС СЗО на ЕСПД Изменено 2 ноября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 3 ноября, 2022 · Жалоба Что такое ЦОС? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 9 ноября, 2022 · Жалоба Подключили к ЕСПД все мои здания. То есть они все за разными криптошлюзами. Из одной сети в другую даже пинг не идет. Значит все таки это не такая уж и дыра как писали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 14:36, 65465132152 сказал: Подключили к ЕСПД все мои здания. То есть они все за разными криптошлюзами. Из одной сети в другую даже пинг не идет. Значит все таки это не такая уж и дыра как писали. А они что, вам выдали прямые ИП для ваших железок? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 9 ноября, 2022 · Жалоба On 11/9/2022 at 3:22 PM, sdy_moscow said: А они что, вам выдали прямые ИП для ваших железок? 10.x.x x Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 19:54, 65465132152 сказал: 10.x.x x Это адрес внутренней подсети выданный ОО. В 09.11.2022 в 18:36, 65465132152 сказал: пинг не идет. Значит все таки это не такая уж и дыра как писали. Вам Wi-Fi (ESPD) установили? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
65465132152 Опубликовано 9 ноября, 2022 · Жалоба On 11/9/2022 at 4:00 PM, lea-nsk said: Это адрес внутренней подсети выданный ОО. ну да внутренний. но если бы была дыра, то шел бы пинг из одной сети до другой. А тут нет. On 11/9/2022 at 4:00 PM, lea-nsk said: Вам Wi-Fi (ESPD) установили? да. но у нас радиус авторизация на нем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 18:00, lea-nsk сказал: Это адрес внутренней подсети выданный ОО. Это тн серая сеть, из диапазонов в rfc, типа 192.168.x.x,172.16,x.x. 10.x.x.x, приватная, и неприспособленная для выхода в инет вообще, немаршрутизуемая вне локального сегмента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 20:29, YuryD сказал: Это тн серая сеть, из диапазонов в rfc, типа 192.168.x.x,172.16,x.x. 10.x.x.x, приватная, и неприспособленная для выхода в инет вообще, немаршрутизуемая вне локального сегмента. Разумеется. В 09.11.2022 в 20:28, 65465132152 сказал: да. но у нас радиус авторизация на нем. Кто устанавливал оборудование? В проекте минцифры ЕСПД через РТ - не используется оборудование поддерживающее радиус авторизацию. РТ основном монтирует простые ТД произведённые Eltex. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 18:46, lea-nsk сказал: Разумеется. Кто устанавливал оборудование? В проекте минцифры ЕСПД через РТ - не используется оборудование поддерживающее радиус авторизацию. РТ основном монтирует простые ТД произведённые Eltex. Это к клиенту, у него должна быть ааа своя. Радиус тут для управления железяками только. Клиент прет на портал авторизации, а уж чем портал пользует, не дело транспорта, радиус-хренариус-есиа - это личное дело клиента и сервиса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 21:09, YuryD сказал: Это к клиенту, у него должна быть ааа своя. Что значить быть ааа своя - вы это о чём? РТ устанавливает своё оборудование согласно проекту. Управление железяками со стороны клиента проект не предусматривает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 ноября, 2022 · Жалоба В 09.11.2022 в 19:36, lea-nsk сказал: Что значить быть ааа своя - вы это о чём? РТ устанавливает своё оборудование согласно проекту. Управление железяками со стороны клиента проект не предусматривает. Ну Вы и сами ответили, управление вами их железяками не предусмотрено, а их управление своими железяками будет, но вам не пофиг, радиус там или что у них ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 9 ноября, 2022 (изменено) · Жалоба В 09.11.2022 в 21:44, YuryD сказал: но вам не пофиг, радиус там или что у них ? мне лично - пофиг, что они там у себя используют. Меня волнует наличие бреши в Wi-Fi (ESPD) предоставляющей свободный доступ к сетевым локальным ресурсам и интернету. Изменено 9 ноября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...