[sanychel]

On 11/24/2022 at 12:36 PM, lea-nsk said:

отдельную подсеть 192.x.x.x/24

Отдельная это наверное школьная сеть видеонаблюдения ?

[lea-nsk]

В 24.11.2022 в 23:47, sanychel сказал:

Отдельная это наверное школьная сеть видеонаблюдения ?

Не совсем, это отдельная подсеть администрации.

Для поста охраны используется kvm удлинитель подключенный непосредственно к видеорегистратору цос

[sanychel]

On 11/24/2022 at 10:11 PM, lea-nsk said:

Не совсем, это отдельная подсеть администрации.

каким интернетом пользуется администрация? Не ЕСПД ?

[casioddv]

Добрый день Коллеги!

Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др.

Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию???

Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО!

Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры

 

Пока проблему решил так Pfsense с двумя провайдерами + политики AD. Сервера ходят через нормального провайдера, там же веб-сервер и др.

Для учебных классов применяется политика AD на прокси РТК+автоматом ставится их сертификат.

Для сотрудников чуть сложнее - В учебных аудиториях на компе учителя также применяется политика AD на прокси РТК, а на постоянных рабочих местах сотрудников авторизация через госуслуги - посредством политики AD + Virtual IP Pfsense. таким образом я не портил свою IP-адресацию.

Для РТК кажется что  рабочее место выходит в инет с Virual IP Pfsense с выданного ими диапазона, а на самом деле на компе IP-адрес из моей сетки.

Также политиками AD сделал что если учитель садится на свое выделенное рабочее место, то применяется авторизация через госуслуги без прокси, а если садится в класс, то через прокси.

[sanychel]

On 11/25/2022 at 9:51 AM, casioddv said:

С каких пор провайдер диктует условия подключения, заставляет применять свои подсети?

РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура.

По заявке РТ может открыть доступ к необходимым адресам в прокси.

[casioddv]

В 25.11.2022 в 12:24, sanychel сказал:

РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура.

По заявке РТ может открыть доступ к необходимым адресам в прокси.

Я писал заявки и официальным письмом и через электронку и по телефону )))

Везде сказали - хрен тебе прямого доступа с их диапазона....

 

В 25.11.2022 в 12:24, sanychel сказал:

РТ это объясняет ТЗ. Тот, кто писал ТЗ не учитывал то, что в школе в принципе могла быть какая то инфраструктура.

По заявке РТ может открыть доступ к необходимым адресам в прокси.

Я читал госконтракт, но или по крайне мере то что нам присылали. Да там много описаний, структуры сетей и всего прочего. Но мне не попалось никаких прямых запретов на какие-нибудь дополнительные возможности. Кто-нибудь вообще видел это ТЗ???

Такой чувство что РТК создал для нас сети как им было удобнее и проще... А по нашим заявкам надо прикладывать усилия, расширять сеть. Решать вопросы с Министерством цифрового развития. А это им просто не надо. Вот и все.

[lea-nsk]

В 25.11.2022 в 12:36, casioddv сказал:

Я писал заявки и официальным письмом и через электронку и по телефону )))

Везде сказали - хрен тебе прямого доступа с их диапазона....

 

В 25.11.2022 в 11:51, casioddv сказал:

Добрый день Коллеги!

Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др.

Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию???

Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО!

Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры

Информация о проекте ЕСПД и ЦОС находятся здесь:

https://regulation.gov.ru/projects#npa=115712 (Приказ Об утверждении стандарта оснащения государственных и муниципальных общеобразовательных организаций, осуществляющих образовательную деятельность в субъектах Российской Федерации, на территории которых проводится эксперимент по внедрению цифровой образовательной среды, компьютерным, мультимедийным, презентационным оборудованием и программным обеспечением, а также материально-технической базой и информационно-телекоммуникационной и технологической инфраструктурой)

[lea-nsk]

В 25.11.2022 в 01:35, sanychel сказал:

каким интернетом пользуется администрация? Не ЕСПД ?

Временно - Да. 

 

Сегодня у меня назрела новая идея, по связке ЛВС с ЕСПД через NAT - моя конфигурация работает, осталось только апробировать корректность работы пользовательской сессии через ЕСИА на разных АРМ...

Изменено 25 ноября, 2022 пользователем lea-nsk

[casioddv]

В 25.11.2022 в 12:43, lea-nsk сказал:

 

Информация о проекте ЕСПД и ЦОС находятся здесь:

https://regulation.gov.ru/projects#npa=115712 (Приказ Об утверждении стандарта оснащения государственных и муниципальных общеобразовательных организаций, осуществляющих образовательную деятельность в субъектах Российской Федерации, на территории которых проводится эксперимент по внедрению цифровой образовательной среды, компьютерным, мультимедийным, презентационным оборудованием и программным обеспечением, а также материально-технической базой и информационно-телекоммуникационной и технологической инфраструктурой)

И что из этого следует - нам разрушить все свои web-сервисы, систему дистанционного образования и вернуться в прошлый век?

Надо было еще написать что переделать ЛВС коаксиальным кабелем в топологию кольцо. Вот это было бы хорошим завершением вездесущего ТЗ :)

[lea-nsk]

В 25.11.2022 в 13:00, casioddv сказал:

И что из этого следует - нам разрушить все свои web-сервисы, систему дистанционного образования и вернуться в прошлый век?

Да. Мы и так к этому идём, качество рунета начинает постепенно падать.  Минцифра тесно связана РТК + отечественные производители телекоммуникационного оборудования (Eltex,АО «РУТЕК»,ООО "Контроль ИТ",ООО «Код Безопасности» и т.д.), которые замещают импортное передовое телекоммуникационное оборудование отечественным в виде самоделок и копий...

 

Сильно не расстраивайтесь, вы не одни находитесь в таком положении с ЕСПД.       

Изменено 25 ноября, 2022 пользователем lea-nsk

[casioddv]

В 25.11.2022 в 13:18, lea-nsk сказал:

Да. Мы и так к этому идём, качество рунета начинает постепенно падать.  Минцифра тесно связана РТК + отечественные производители телекоммуникационного оборудования (Eltex,АО «РУТЕК»,ООО "Контроль ИТ",ООО «Код Безопасности» и т.д.), которые замещают импортное передовое телекоммуникационное оборудование отечественным в виде самоделок и копий...

 

Сильно не расстраивайтесь, вы не одни находитесь в таком положении с ЕСПД.       

 

это точно :)

[OffPlankton]

  

В 22.11.2022 в 19:45, 65465132152 сказал:

1. Почему Wifi в одном широковещательном домене с Lan сегментом? Это же глупо когда у тебя в одной сети 500 устройств если /23 маска

2. У нас для детей прописывается один ДНС, а для сотрудником другой ДНС. Почему так сделано?

3. Как 100 мегабитный криптошлюз поменять на гигабитный и скорость тоже увеличить до гигабита.

1) Видимо максимально упростили схему, чтобы не было жалоб, что компьютер, подключенный кабелем, не видит wifi принтер  ¯\_(ツ)_/¯
2) dns всего два, 95.167.167.95 и 95.167.167.96 , других не предусмотрено. Можно прописывать оба, можно только один - работать должно в любом случае.

3) Думаю что никак, но можете попробовать вытребовать это у Минобра)

 

 

 

В 23.11.2022 в 11:06, sanychel сказал:

Нареканий нет пока только на Firefox. Все остальное работает рандомно (иногда работает, иногда нет).

Неделю назад я лично пытался авторизоваться часов в 12 по мск на ноуте через Chrome и Edge. Страница с оранжевой кнопкой появлялась стабильно, но при ее нажатии ЕСИА не загружался, браузер сообщал о не валидном сертификате и не загружал форму. Из 15 переходов на ЕСИА, успешно загрузилась форма только 1 раз. Если вы не верите, я просто буду записывать видео в следующий раз.

 

У вас сеть за роутером со своей адресацией? Если да, то тут стандартный ответ - "работа ЕСИА в таком случае не гарантируется" :)

[lea-nsk]

В 25.11.2022 в 16:11, OffPlankton сказал:

Видимо максимально упростили схему,

Таким образом создали сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями.  

[OffPlankton]

В 25.11.2022 в 07:51, casioddv сказал:

Добрый день Коллеги!

Добрался "самый лучший провайдер" и до СПО! С каких пор провайдер диктует условия подключения, заставляет применять свои подсети? Оно нам надо? Уважаемые сотрудники РТК, как вы себе представляете переход на работу с вами, если у организации своя доменная инфраструктура, свой web-сервер, IP телефония, почтовый сервер, сервер Видеоконференцсвязи и др.

Писал заявки на статический БЕЛЫЙ IP для web-сервисов - ОТКАЗАНО. Как вы себе представляете, нам надо уничтожить свой сайт, систему дистанционного образования, почту, IP-телефонию???

Писал заявки на прямой доступ с нескольких IP без фильтрации и регистрации на госуслугах - для нормальной работы серверов - ОТКАЗАНО!

Для нормальной работы остается только иметь второго, а самое главное АДЕКВАТНОГО провайдера для нормальной работы web-сервисов и серверной инфраструктуры

 

Пока проблему решил так Pfsense с двумя провайдерами + политики AD. Сервера ходят через нормального провайдера, там же веб-сервер и др.

Для учебных классов применяется политика AD на прокси РТК+автоматом ставится их сертификат.

Для сотрудников чуть сложнее - В учебных аудиториях на компе учителя также применяется политика AD на прокси РТК, а на постоянных рабочих местах сотрудников авторизация через госуслуги - посредством политики AD + Virtual IP Pfsense. таким образом я не портил свою IP-адресацию.

Для РТК кажется что  рабочее место выходит в инет с Virual IP Pfsense с выданного ими диапазона, а на самом деле на компе IP-адрес из моей сетки.

Также политиками AD сделал что если учитель садится на свое выделенное рабочее место, то применяется авторизация через госуслуги без прокси, а если садится в класс, то через прокси.

РТК никого не заставляет, РТК просто исполнитель, который ограничен условиями госзаказа. Все вопросы и претензии нужно предъявлять Министерству образования и Минцифре.

[pasharesh1988]

В 24.11.2022 в 10:36, lea-nsk сказал:

Да, получилось.

Всё завит от вашего школьного сетевого оборудования, оно должно поддерживать уровень не ниже L2.

Изначально, я попросил инженера РТК, чтобы он настроил на коммутаторе (ЦОС) один транковый физический порт с тегированием VLAN подсетей ЕСПД и CCTV.

К нему подключил школьный маршрутизатор поддерживающий стандарт 802.1Q для работы с VLAN... Подключившись к нужному VLAN с CCTV (ЦОС), завожу на нём соответствующую подсеть (10.x.x.x/28) и пробросываю IP адрес видеорегистратора из подсети 10.x.x.x/28 ЦОС (ЕСПД) в школьную отдельную подсеть 192.x.x.x/24 с обязательным использованием межсетевого экрана для двухстороннего ограничения доступа к прочим межсетевым ресурсам.

Не совсем понял какой порт вы попросили настроить? Отдельный порт на коммутаторе? Или же тот же порт на который подключен криптошлюз?

[lea-nsk]

В 25.11.2022 в 16:11, OffPlankton сказал:

Как 100 мегабитный криптошлюз поменять на гигабитный и скорость тоже увеличить до гигабита.

Можно, но это денег стоит)

1 . Госконтракт финансово ограничен;

2. Услуга на связь предоставляется согласно техзаданию предоставленного заказчиком (минцифра)  

[OffPlankton]

В 25.11.2022 в 08:36, casioddv сказал:

Решать вопросы с Министерством цифрового развития. А это им просто не надо. Вот и все.

Если вас не устраивает, как наемные работники делают вам ремонт, то вы ведь будете обращаться к их бригадиру, а не пинать каждого в отдельности? В этом примере РТК - наемный работник, а Минцифры - бригадир. Меня еще в бытность монтажником научили одной премудрости: "Чтобы  не было п*здежу - делай всё по чертежу. А если начался п*здежь - покажи чертеж".

 

В 25.11.2022 в 12:15, lea-nsk сказал:

Таким образом создали сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями.  

можно сменить пароль от wifi и никому его не выдавать. Подсмотреть его в винде можно только обладая правами администратор - так не нужно их никому выдавать. По остальным ОС не в курсе, но в unix-системах обычно тоже всё очень строго и в конфиги так просто не заглянешь.

[lea-nsk]

В 25.11.2022 в 16:18, pasharesh1988 сказал:

Не совсем понял какой порт вы попросили настроить? Отдельный порт на коммутаторе? Или же тот же порт на который подключен криптошлюз?

На коммутаторе.

 

 

 

 

 

 

 

 

 

 

 

 

Изменено 25 ноября, 2022 пользователем lea-nsk

[pasharesh1988]

В 25.11.2022 в 12:25, lea-nsk сказал:

На коммутаторе.

 

 

 

 

 

 

 

 

 

 

 

 

 

Можно написать вам в личку?

[pasharesh1988]

В 25.11.2022 в 12:25, lea-nsk сказал:

На коммутаторе.

 

 

 

 

 

 

 

 

 

 

 

 

 

Порт прописать на агрегаторе до криптошлюза? Или коммутатор который после криптошлюза и маршрутизаторв в схеме?

[Nickuz]

В 25.11.2022 в 14:21, OffPlankton сказал:

можно сменить пароль от wifi и никому его не выдавать.

А какой толк? Беспроводная сеть и проводная - это всегда разные подсети с разными уровнями доверия. И находиться они должны в разных VLAN.

[OffPlankton]

В 25.11.2022 в 14:01, Nickuz сказал:

А какой толк? Беспроводная сеть и проводная - это всегда разные подсети с разными уровнями доверия. И находиться они должны в разных VLAN.

вопрос был про "сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями"

по вланам можно попробовать подать заявку, не думаю что от этого просто отмахнутся. По крайней мере не вижу проблемы в том, чтобы создать еще один интерфейс на маршрутизаторе и прописать туда проводную сеть. Даже не придется перенастраивать точки доступа, на них останется старый влан.

[Nickuz]

В 25.11.2022 в 16:07, OffPlankton сказал:

вопрос был про "сетевую брешь, которая позволяет через Wi-Fi свободно подключаться к школьной ЛВС (ЦОС) со всеми вытекающими последствиями"

по вланам можно попробовать подать заявку, не думаю что от этого просто отмахнутся. По крайней мере не вижу проблемы в том, чтобы создать еще один интерфейс на маршрутизаторе и прописать туда проводную сеть. Даже не придется перенастраивать точки доступа, на них останется старый влан.

И ответ был ровно про то же. Нельзя мешать разные устройства с разными уровнями доверия из разных сетей. И рекомендации ФСТЭК, которые рассылали, были про это. Только исполнитель ГК клал на рекомендации.

[Nickuz]

В 25.11.2022 в 10:53, lea-nsk сказал:

Сегодня у меня назрела новая идея, по связке ЛВС с ЕСПД через NAT - моя конфигурация работает, осталось только апробировать корректность работы пользовательской сессии через ЕСИА на разных АРМ...

Не взлетит. После авторизации случится связка пользователь - IP, а поскольку все пользователи натятся в один адрес, то такая авторизация - не авторизация.

[lea-nsk]

В 25.11.2022 в 18:07, OffPlankton сказал:

по вланам можно попробовать подать заявку

Была такая заявка, получил отказ. Создавал заявку на на настройку дополнительный WLAN по отдельному VLAN - отказали.

 

Причина: отсутствие подписанного акта приёма-передачи оборудования на баланс ОУ. Сказали: когда у вас будет такая бумажка, тогда, мы вам дадим доступ к настройкам оборудования ЦОС  (логины и пароли) или сделаем все необходимые настройки оборудования под ваши местные нужды...

 

По-факту, оборудование ЕСПД (ЦОС) находится на балансе/обслуживании у РТК.

Скорее всего, РТК - использует уже отработанную схему связанную с закупкой телекоммуникационного оборудования с последующей арендой.

Хороший пример: временная установка системы видеонаблюдения на пунктах УИК на время проведения выборов. По окончанию мероприятия, оборудование демонтируется сотрудниками РТК и уезжает в неизвестном направлении.  

Не удивлюсь, если после окончания действия контракта, сотрудники из РТК приедут в ОУ и демонтируют своё телекоммуникационное оборудование имеющее отношение к проекту ЕСПД.