sanychel Опубликовано 24 ноября, 2022 · Жалоба On 11/24/2022 at 12:36 PM, lea-nsk said: отдельную подсеть 192.x.x.x/24 Отдельная это наверное школьная сеть видеонаблюдения ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 24 ноября, 2022 · Жалоба В 24.11.2022 в 23:47, sanychel сказал: Отдельная это наверное школьная сеть видеонаблюдения ? Не совсем, это отдельная подсеть администрации. Для поста охраны используется kvm удлинитель подключенный непосредственно к видеорегистратору цос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanychel Опубликовано 24 ноября, 2022 · Жалоба On 11/24/2022 at 10:11 PM, lea-nsk said: Не совсем, это отдельная подсеть администрации. каким интернетом пользуется администрация? Не ЕСПД ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casioddv Опубликовано 25 ноября, 2022 · Жалоба Добрый день Коллеги! Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др. Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию??? Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО! Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры Пока проблему решил так Pfsense с двумя провайдерами + политики AD. Сервера ходят через нормального провайдера, там же веб-сервер и др. Для учебных классов применяется политика AD на прокси РТК+автоматом ставится их сертификат. Для сотрудников чуть сложнее - В учебных аудиториях на компе учителя также применяется политика AD на прокси РТК, а на постоянных рабочих местах сотрудников авторизация через госуслуги - посредством политики AD + Virtual IP Pfsense. таким образом я не портил свою IP-адресацию. Для РТК кажется что рабочее место выходит в инет с Virual IP Pfsense с выданного ими диапазона, а на самом деле на компе IP-адрес из моей сетки. Также политиками AD сделал что если учитель садится на свое выделенное рабочее место, то применяется авторизация через госуслуги без прокси, а если садится в класс, то через прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sanychel Опубликовано 25 ноября, 2022 · Жалоба On 11/25/2022 at 9:51 AM, casioddv said: С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура. По заявке РТ может открыть доступ к необходимым адресам в прокси. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casioddv Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 12:24, sanychel сказал: РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура. По заявке РТ может открыть доступ к необходимым адресам в прокси. Я писал заявки и официальным письмом и через электронку и по телефону ))) Везде сказали - хрен тебе прямого доступа с их диапазона.... В 25.11.2022 в 12:24, sanychel сказал: РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура. По заявке РТ может открыть доступ к необходимым адресам в прокси. Я читал госконтракт, но или по крайне мере то что нам присылали. Да там много описаний, структуры сетей и всего прочего. Но мне не попалось никаких прямых запретов на какие-нибудь дополнительные возможности. Кто-нибудь вообще видел это ТЗ??? Такой чувство что РТК создал для нас сети как им было удобнее и проще... А по нашим заявкам надо прикладывать усилия, расширять сеть. Решать вопросы с Министерством цифрового развития. А это им просто не надо. Вот и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 12:36, casioddv сказал: Я писал заявки и официальным письмом и через электронку и по телефону ))) Везде сказали - хрен тебе прямого доступа с их диапазона.... В 25.11.2022 в 11:51, casioddv сказал: Добрый день Коллеги! Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др. Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию??? Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО! Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры Информация о проекте ЕСПД и ЦОС находятся здесь: https://regulation.gov.ru/projects#npa=115712 (Приказ Об утверждении стандарта оснащения государственных и муниципальных общеобразовательных организаций, осуществляющих образовательную деятельность в субъектах Российской Федерации, на территории которых проводится эксперимент по внедрению цифровой образовательной среды, компьютерным, мультимедийным, презентационным оборудованием и программным обеспечением, а также материально-технической базой и информационно-телекоммуникационной и технологической инфраструктурой) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 (изменено) · Жалоба В 25.11.2022 в 01:35, sanychel сказал: каким интернетом пользуется администрация? Не ЕСПД ? Временно - Да. Сегодня у меня назрела новая идея, по связке ЛВС с ЕСПД через NAT - моя конфигурация работает, осталось только апробировать корректность работы пользовательской сессии через ЕСИА на разных АРМ... Изменено 25 ноября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casioddv Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 12:43, lea-nsk сказал: Информация о проекте ЕСПД и ЦОС находятся здесь: https://regulation.gov.ru/projects#npa=115712 (Приказ Об утверждении стандарта оснащения государственных и муниципальных общеобразовательных организаций, осуществляющих образовательную деятельность в субъектах Российской Федерации, на территории которых проводится эксперимент по внедрению цифровой образовательной среды, компьютерным, мультимедийным, презентационным оборудованием и программным обеспечением, а также материально-технической базой и информационно-телекоммуникационной и технологической инфраструктурой) И что из этого следует - нам разрушить все свои web-сервисы, систему дистанционного образования и вернуться в прошлый век? Надо было еще написать что переделать ЛВС коаксиальным кабелем в топологию кольцо. Вот это было бы хорошим завершением вездесущего ТЗ :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 (изменено) · Жалоба В 25.11.2022 в 13:00, casioddv сказал: И что из этого следует - нам разрушить все свои web-сервисы, систему дистанционного образования и вернуться в прошлый век? Да. Мы и так к этому идём, качество рунета начинает постепенно падать. Минцифра тесно связана РТК + отечественные производители телекоммуникационного оборудования (Eltex,АО «РУТЕК»,ООО "Контроль ИТ",ООО «Код Безопасности» и т.д.), которые замещают импортное передовое телекоммуникационное оборудование отечественным в виде самоделок и копий... Сильно не расстраивайтесь, вы не одни находитесь в таком положении с ЕСПД. Изменено 25 ноября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casioddv Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 13:18, lea-nsk сказал: Да. Мы и так к этому идём, качество рунета начинает постепенно падать. Минцифра тесно связана РТК + отечественные производители телекоммуникационного оборудования (Eltex,АО «РУТЕК»,ООО "Контроль ИТ",ООО «Код Безопасности» и т.д.), которые замещают импортное передовое телекоммуникационное оборудование отечественным в виде самоделок и копий... Сильно не расстраивайтесь, вы не одни находитесь в таком положении с ЕСПД. это точно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OffPlankton Опубликовано 25 ноября, 2022 · Жалоба В 22.11.2022 в 19:45, 65465132152 сказал: 1. Почему Wifi в одном широковещательном домене с Lan сегментом? Это же глупо когда у тебя в одной сети 500 устройств если /23 маска 2. У нас для детей прописывается один ДНС, а для сотрудником другой ДНС. Почему так сделано? 3. Как 100 мегабитный криптошлюз поменять на гигабитный и скорость тоже увеличить до гигабита. 1) Видимо максимально упростили схему, чтобы не было жалоб, что компьютер, подключенный кабелем, не видит wifi принтер ¯\_(ツ)_/¯ 2) dns всего два, 95.167.167.95 и 95.167.167.96 , других не предусмотрено. Можно прописывать оба, можно только один - работать должно в любом случае. 3) Думаю что никак, но можете попробовать вытребовать это у Минобра) В 23.11.2022 в 11:06, sanychel сказал: Нареканий нет пока только на Firefox. Все остальное работает рандомно (иногда работает, иногда нет). Неделю назад я лично пытался авторизоваться часов в 12 по мск на ноуте через Chrome и Edge. Страница с оранжевой кнопкой появлялась стабильно, но при ее нажатии ЕСИА не загружался, браузер сообщал о не валидном сертификате и не загружал форму. Из 15 переходов на ЕСИА, успешно загрузилась форма только 1 раз. Если вы не верите, я просто буду записывать видео в следующий раз. У вас сеть за роутером со своей адресацией? Если да, то тут стандартный ответ - "работа ЕСИА в таком случае не гарантируется" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 16:11, OffPlankton сказал: Видимо максимально упростили схему, Таким образом создали сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OffPlankton Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 07:51, casioddv сказал: Добрый день Коллеги! Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др. Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию??? Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО! Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры Пока проблему решил так Pfsense с двумя провайдерами + политики AD. Сервера ходят через нормального провайдера, там же веб-сервер и др. Для учебных классов применяется политика AD на прокси РТК+автоматом ставится их сертификат. Для сотрудников чуть сложнее - В учебных аудиториях на компе учителя также применяется политика AD на прокси РТК, а на постоянных рабочих местах сотрудников авторизация через госуслуги - посредством политики AD + Virtual IP Pfsense. таким образом я не портил свою IP-адресацию. Для РТК кажется что рабочее место выходит в инет с Virual IP Pfsense с выданного ими диапазона, а на самом деле на компе IP-адрес из моей сетки. Также политиками AD сделал что если учитель садится на свое выделенное рабочее место, то применяется авторизация через госуслуги без прокси, а если садится в класс, то через прокси. РТК никого не заставляет, РТК просто исполнитель, который ограничен условиями госзаказа. Все вопросы и претензии нужно предъявлять Министерству образования и Минцифре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pasharesh1988 Опубликовано 25 ноября, 2022 · Жалоба В 24.11.2022 в 10:36, lea-nsk сказал: Да, получилось. Всё завит от вашего школьного сетевого оборудования, оно должно поддерживать уровень не ниже L2. Изначально, я попросил инженера РТК, чтобы он настроил на коммутаторе (ЦОС) один транковый физический порт с тегированием VLAN подсетей ЕСПД и CCTV. К нему подключил школьный маршрутизатор поддерживающий стандарт 802.1Q для работы с VLAN... Подключившись к нужному VLAN с CCTV (ЦОС), завожу на нём соответствующую подсеть (10.x.x.x/28) и пробросываю IP адрес видеорегистратора из подсети 10.x.x.x/28 ЦОС (ЕСПД) в школьную отдельную подсеть 192.x.x.x/24 с обязательным использованием межсетевого экрана для двухстороннего ограничения доступа к прочим межсетевым ресурсам. Не совсем понял какой порт вы попросили настроить? Отдельный порт на коммутаторе? Или же тот же порт на который подключен криптошлюз? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 16:11, OffPlankton сказал: Как 100 мегабитный криптошлюз поменять на гигабитный и скорость тоже увеличить до гигабита. Можно, но это денег стоит) 1 . Госконтракт финансово ограничен; 2. Услуга на связь предоставляется согласно техзаданию предоставленного заказчиком (минцифра) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OffPlankton Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 08:36, casioddv сказал: Решать вопросы с Министерством цифрового развития. А это им просто не надо. Вот и все. Если вас не устраивает, как наемные работники делают вам ремонт, то вы ведь будете обращаться к их бригадиру, а не пинать каждого в отдельности? В этом примере РТК - наемный работник, а Минцифры - бригадир. Меня еще в бытность монтажником научили одной премудрости: "Чтобы не было п*здежу - делай всё по чертежу. А если начался п*здежь - покажи чертеж". В 25.11.2022 в 12:15, lea-nsk сказал: Таким образом создали сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями. можно сменить пароль от wifi и никому его не выдавать. Подсмотреть его в винде можно только обладая правами администратор - так не нужно их никому выдавать. По остальным ОС не в курсе, но в unix-системах обычно тоже всё очень строго и в конфиги так просто не заглянешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 (изменено) · Жалоба В 25.11.2022 в 16:18, pasharesh1988 сказал: Не совсем понял какой порт вы попросили настроить? Отдельный порт на коммутаторе? Или же тот же порт на который подключен криптошлюз? На коммутаторе. Изменено 25 ноября, 2022 пользователем lea-nsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pasharesh1988 Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 12:25, lea-nsk сказал: На коммутаторе. Можно написать вам в личку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pasharesh1988 Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 12:25, lea-nsk сказал: На коммутаторе. Порт прописать на агрегаторе до криптошлюза? Или коммутатор который после криптошлюза и маршрутизаторв в схеме? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 14:21, OffPlankton сказал: можно сменить пароль от wifi и никому его не выдавать. А какой толк? Беспроводная сеть и проводная - это всегда разные подсети с разными уровнями доверия. И находиться они должны в разных VLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OffPlankton Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 14:01, Nickuz сказал: А какой толк? Беспроводная сеть и проводная - это всегда разные подсети с разными уровнями доверия. И находиться они должны в разных VLAN. вопрос был про "сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями" по вланам можно попробовать подать заявку, не думаю что от этого просто отмахнутся. По крайней мере не вижу проблемы в том, чтобы создать еще один интерфейс на маршрутизаторе и прописать туда проводную сеть. Даже не придется перенастраивать точки доступа, на них останется старый влан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 16:07, OffPlankton сказал: вопрос был про "сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями" по вланам можно попробовать подать заявку, не думаю что от этого просто отмахнутся. По крайней мере не вижу проблемы в том, чтобы создать еще один интерфейс на маршрутизаторе и прописать туда проводную сеть. Даже не придется перенастраивать точки доступа, на них останется старый влан. И ответ был ровно про то же. Нельзя мешать разные устройства с разными уровнями доверия из разных сетей. И рекомендации ФСТЭК, которые рассылали, были про это. Только исполнитель ГК клал на рекомендации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 10:53, lea-nsk сказал: Сегодня у меня назрела новая идея, по связке ЛВС с ЕСПД через NAT - моя конфигурация работает, осталось только апробировать корректность работы пользовательской сессии через ЕСИА на разных АРМ... Не взлетит. После авторизации случится связка пользователь - IP, а поскольку все пользователи натятся в один адрес, то такая авторизация - не авторизация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lea-nsk Опубликовано 25 ноября, 2022 · Жалоба В 25.11.2022 в 18:07, OffPlankton сказал: по вланам можно попробовать подать заявку Была такая заявка, получил отказ. Создавал заявку на на настройку дополнительный WLAN по отдельному VLAN - отказали. Причина: отсутствие подписанного акта приёма-передачи оборудования на баланс ОУ. Сказали: когда у вас будет такая бумажка, тогда, мы вам дадим доступ к настройкам оборудования ЦОС (логины и пароли) или сделаем все необходимые настройки оборудования под ваши местные нужды... По-факту, оборудование ЕСПД (ЦОС) находится на балансе/обслуживании у РТК. Скорее всего, РТК - использует уже отработанную схему связанную с закупкой телекоммуникационного оборудования с последующей арендой. Хороший пример: временная установка системы видеонаблюдения на пунктах УИК на время проведения выборов. По окончанию мероприятия, оборудование демонтируется сотрудниками РТК и уезжает в неизвестном направлении. Не удивлюсь, если после окончания действия контракта, сотрудники из РТК приедут в ОУ и демонтируют своё телекоммуникационное оборудование имеющее отношение к проекту ЕСПД. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...