[lea-nsk]

В 25.11.2022 в 18:38, Nickuz сказал:

Не взлетит. После авторизации случится связка пользователь - IP, а поскольку все пользователи натятся в один адрес,

Об этом я знаю и не раз об этом здесь писал...

 

Решение очень простое, достаточно создать на интерфейсе с ЕСПД дополнительные статические адреса относящиеся подсети ЕСПД

например такой вариант:

10.82.130.10/24

10.82.130.11/24

10.82.130.12/24

 

В NAT, необходимо создать новое правило, которое будет направлять трафик с IP адреса нужной нам АРМ (192.168.1.47) в соответствующий IP адрес 10.82.130.10

Соответственно:

для АРМ (192.168.1.48) в соответствующий IP адрес 10.82.130.11

для АРМ (192.168.1.49) в соответствующий IP адрес 10.82.130.12

и т.д.

 

Результат получается:

В сети ЕСПД 10.82.130.0/24

присутствуют 3 физических устройства с IP адресами :

10.82.130.10

10.82.130.11

10.82.130.12

 

получаем результат:

10.82.130.10 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.47 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №1)

10.82.130.11 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.48 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №2)

10.82.130.12 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.49 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №3)

 

Это решение работает)

На следующей неделе, буду производить апробацию/корректность работы пользовательских сессии ЕСИА.

 

 

[lea-nsk]

В 25.11.2022 в 17:27, pasharesh1988 сказал:

Порт прописать на агрегаторе до криптошлюза?

Нет, берётся любой свободный порт на коммутаторе (на схеме, обозначен как "Коммутатор POE"), и на нём меняется его конфигурация. Вы можете попросить РТК, чтобы они настроили на своём коммутаторе любой свободный порт для возможности осуществления доступа в подсеть с CCTV (видеонаблюдение)   

[sanychel]

On 11/25/2022 at 9:00 PM, lea-nsk said:

Это решение работает)

Хороший вариант, вот только нужен ли такой велосипед. Нет же разницы какие цифры имеет подсеть, главное это свой DHCP.

[sanychel]

On 11/25/2022 at 11:18 AM, lea-nsk said:

(Eltex,АО «РУТЕК»,ООО "Контроль ИТ",ООО «Код Безопасности» и т.д.), которые замещают импортное передовое телекоммуникационное оборудование отечественным в виде самоделок и копий...

У нас видимо по условиям закупки были куплены ноуты Аквариус российского производства, едва им исполнилось два года, как они стали надуваться. Аккумулятор буквально разламывает корпус. Плюсом у них постоянно слетает видеодрайвер и на экране появляются фризы. Предполагаю, что через год весь парк ноутов придёт в негодность, лишь бы пожара не случилось.

На крипто шлюзе постоянно глючит датчик вскрытия, а один из 2-х LAN портов уже не работает.

 

Изменено 25 ноября, 2022 пользователем sanychel

[jesterx777]

В 25.11.2022 в 23:00, lea-nsk сказал:

Об этом я знаю и не раз об этом здесь писал...

 

Решение очень простое, достаточно создать на интерфейсе с ЕСПД дополнительные статические адреса относящиеся подсети ЕСПД

например такой вариант:

10.82.130.10/24

10.82.130.11/24

10.82.130.12/24

 

В NAT, необходимо создать новое правило, которое будет направлять трафик с IP адреса нужной нам АРМ (192.168.1.47) в соответствующий IP адрес 10.82.130.10

Соответственно:

для АРМ (192.168.1.48) в соответствующий IP адрес 10.82.130.11

для АРМ (192.168.1.49) в соответствующий IP адрес 10.82.130.12

и т.д.

 

Результат получается:

В сети ЕСПД 10.82.130.0/24

присутствуют 3 физических устройства с IP адресами :

10.82.130.10

10.82.130.11

10.82.130.12

 

получаем результат:

10.82.130.10 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.47 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №1)

10.82.130.11 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.48 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №2)

10.82.130.12 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.49 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №3)

 

Это решение работает)

На следующей неделе, буду производить апробацию/корректность работы пользовательских сессии ЕСИА.

 

 

У вас микротик? Можете показать какие правила делали?

[lea-nsk]

В 25.11.2022 в 16:21, OffPlankton сказал:

можно сменить пароль от wifi и никому его не выдавать.

Религия проекта ЕСПД это не позволяет сделать. Авторы проекта ЕСПД говорят: - нельзя, пароль должен быть единым во всех субъектах РФ.

 

В 25.11.2022 в 16:21, OffPlankton сказал:

Подсмотреть его в винде можно только обладая правами администратор

Единый ключ-пароль очень простой) Не сложно догадаться :)

Кто в этом сильно заинтересован, - тот и подсмотрит, узнает от другого обладателя данной информации, массово распространит информацию о пароле-ключе через менеджеры...

 

 

 

В 26.11.2022 в 03:54, sanychel сказал:

вот только нужен ли такой велосипед. Нет же разницы какие цифры имеет подсеть, главное это свой DHCP.

Вся эта затея была ради корректной работы пользовательских сессий ЕСИА через NAT и свой DHCP-сервер... )))

 

[OffPlankton]

В 25.11.2022 в 14:38, Nickuz сказал:

Не взлетит. После авторизации случится связка пользователь - IP, а поскольку все пользователи натятся в один адрес, то такая авторизация - не авторизация.

можно натить каждый комп отдельно )

 

В 25.11.2022 в 18:07, lea-nsk сказал:

Была такая заявка, получил отказ. Создавал заявку на на настройку дополнительный WLAN по отдельному VLAN - отказали.

 

Причина: отсутствие подписанного акта приёма-передачи оборудования на баланс ОУ. Сказали: когда у вас будет такая бумажка, тогда, мы вам дадим доступ к настройкам оборудования ЦОС  (логины и пароли) или сделаем все необходимые настройки оборудования под ваши местные нужды...

 

По-факту, оборудование ЕСПД (ЦОС) находится на балансе/обслуживании у РТК.

Скорее всего, РТК - использует уже отработанную схему связанную с закупкой телекоммуникационного оборудования с последующей арендой.

Хороший пример: временная установка системы видеонаблюдения на пунктах УИК на время проведения выборов. По окончанию мероприятия, оборудование демонтируется сотрудниками РТК и уезжает в неизвестном направлении.  

Не удивлюсь, если после окончания действия контракта, сотрудники из РТК приедут в ОУ и демонтируют своё телекоммуникационное оборудование имеющее отношение к проекту ЕСПД.

   

 

По информацию, которую сообщали нам, оборудование ЦОС (маршрутизатор esr, poe-коммутаторы, точки доступа, камеры и т.д.) находится в собственности ОУ. То ли год, то ли два оно на гарантийном обслуживании у организаций в регионах (везде кто-то свой). Настройки всего этого дела производятся  либо школой, либо по гарантии. Так что вам действительно нужно отыскать/стребовать с кого-то этот акт.  Не знаю точно с кем вы общались, но можно позвонить в ТП и попросить контакты организации, которая занимается гарантийным обслуживанием ЦОС в вашем регионе. Возможно так будет быстрее.

[65465132152]

On 11/25/2022 at 12:11 PM, OffPlankton said:

dns всего два, 95.167.167.95 и 95.167.167.96 , других не предусмотрено. Можно прописывать оба, можно только один - работать должно в любом случае.

У нас в Казани есть еще ДНС 10.100.200.10. я про него. 

[lea-nsk]

В 28.11.2022 в 14:29, 65465132152 сказал:

У нас в Казани есть еще ДНС 10.100.200.10. я про него. 

    Это ДНС для закрытого сегмента.

 

[lea-nsk]

В 28.11.2022 в 13:56, OffPlankton сказал:

оборудование ЦОС (маршрутизатор esr, poe-коммутаторы, точки доступа, камеры и т.д.) находится в собственности ОУ

Не торопятся нам предавать всё это хозяйство наши региональные координаторы.

 

В 28.11.2022 в 13:56, OffPlankton сказал:

организации, которая занимается гарантийным обслуживанием ЦОС в вашем регионе

Есть такая организация, но она не хочет передавать акты приёма-передачи на установленное оборудование в ОУ. Изначально, шли в нашем регионе такие разговоры: обслуживание ЦОС в ОО должно производиться через IT-аутсорсинг...

[65465132152]

On 11/28/2022 at 10:39 AM, lea-nsk said:

Это ДНС для закрытого сегмента.

У нас он не в закрытом сегменте. до него пинг идет из открытого сегмента.

[Nickuz]

В 25.11.2022 в 21:00, lea-nsk сказал:

10.82.130.10 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.47 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №1)

10.82.130.11 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.48 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №2)

10.82.130.12 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.49 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №3)

ручной труд облагораживает, а при количестве хостов, близком к 200 - ещё и даёт возможность ошибиться несколько раз.

[jesterx777]

В 28.11.2022 в 15:07, Nickuz сказал:

ручной труд облагораживает, а при количестве хостов, близком к 200 - ещё и даёт возможность ошибиться несколько раз.

Разве можно всем учителям поголовно давать авторизацию через госуслуги? Как мы поняли это только для административного сегмента.

[Nickuz]

В 28.11.2022 в 13:23, jesterx777 сказал:

Разве можно всем учителям поголовно давать авторизацию через госуслуги? Как мы поняли это только для административного сегмента.

Как писали коллеги выше, у них вообще нет ПК, выделенных только под работу обучающихся. Все - для АУП.

[jesterx777]

В 28.11.2022 в 15:30, Nickuz сказал:

Как писали коллеги выше, у них вообще нет ПК, выделенных только под работу обучающихся. Все - для АУП.

Если стоит пк в классе учительский то он не относится к образовательному процессу? Нам сказали что мол все пк в классах это образовательный процесс поэтому фиг вам.

[lea-nsk]

В 28.11.2022 в 15:07, Nickuz сказал:

ручной труд облагораживает, а при количестве хостов, близком к 200

Зачем вам прописывать 200 хостов? 

Группируйте АРМ использующие только СКФ (proxy):

10.82.130.10 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.47 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №1)

                                                                       это 192.168.1.48 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №2)

                                                                       это 192.168.1.49 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №3)

                                                                       и т.д.

[OffPlankton]

В 28.11.2022 в 10:51, 65465132152 сказал:

У нас он не в закрытом сегменте. до него пинг идет из открытого сегмента.

это магия, не иначе. Или у вас порт для закрытого сегмента физически подключен в сеть школы, а на нужных ПК настроены вторые ip. Встречал такое, народ крутится как может, чтобы на ПК и обычный интернет был, и ресурсы из закрытого сегмента были доступны) Правда если это выявится во время какой-нибудь проверки, то за такое точно не похвалят...

 

В 28.11.2022 в 11:40, lea-nsk сказал:

Зачем вам прописывать 200 хостов? 

Группируйте АРМ использующие только СКФ (proxy):

10.82.130.10 (ЕСПД, сеть 10.82.130.0/24) - это 192.168.1.47 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №1)

                                                                       это 192.168.1.48 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №2)

                                                                       это 192.168.1.49 (школьная ЛВС, сеть 192.168.1.0/24, АРМ №3)

                                                                       и т.д.

ну всё логично - ПК с КФ натятся через один адрес, а остальные через индивидуальные. Ученических ПК обычно намного больше чем административных, так что объем получается не таким большим.

 

В 28.11.2022 в 10:50, lea-nsk сказал:

Не торопятся нам предавать всё это хозяйство наши региональные координаторы.

 

Есть такая организация, но она не хочет передавать акты приёма-передачи на установленное оборудование в ОУ. Изначально, шли в нашем регионе такие разговоры: обслуживание ЦОС в ОО должно производиться через IT-аутсорсинг...

Бюрократия она такая, тут или ждать или кого-нибудь попинывать каждый день, чтобы дело шло быстрее.

Изменено 28 ноября, 2022 пользователем OffPlankton

[Nickuz]

В 28.11.2022 в 13:46, OffPlankton сказал:

Ученических ПК обычно намного больше чем административных, так что объем получается не таким большим.

У всех по-разному. У нас утром он ученический, через пару часов - учительский,  а потом и вовсе завхоз на нём заполняет бумажки по обороту ядохимикатов от клопов и тараканов. Не прибиты они гвоздями к пользователям, не можем мы дать каждому по личному ПК.

[OffPlankton]

В 28.11.2022 в 11:51, Nickuz сказал:

У всех по-разному. У нас утром он ученический, через пару часов - учительский,  а потом и вовсе завхоз на нём заполняет бумажки по обороту ядохимикатов от клопов и тараканов. Не прибиты они гвоздями к пользователям, не можем мы дать каждому по личному ПК.

Как вариант: настроить NAT как предлагал коллега выше, установить Мозиллу и прописать в ней прокси - через неё пусть интернетом пользуются учащиеся. А через Хром или Оперу пусть пользуются работники, с авторизацией через ЕСИА.

 

[65465132152]

On 11/28/2022 at 11:46 AM, OffPlankton said:

это магия, не иначе. Или у вас порт для закрытого сегмента физически подключен в сеть школы, а на нужных ПК настроены вторые ip. Встречал такое, народ крутится как может, чтобы на ПК и обычный интернет был, и ресурсы из закрытого сегмента были доступны) Правда если это выявится во время какой-нибудь проверки, то за такое точно не похвалят...

С закрытого сегмента есть доступ к таким системам как ФИС ГИА и приема, фис ФРДО и прочим системам?

[Nickuz]

В 28.11.2022 в 14:09, OffPlankton сказал:

Как вариант: настроить NAT как предлагал коллега выше, установить Мозиллу и прописать в ней прокси - через неё пусть интернетом пользуются учащиеся. А через Хром или Оперу пусть пользуются работники, с авторизацией через ЕСИА.

 

а завтра придёт очередная указявка "провести тестирование учащихся на ресурсе чего-то-там.ру. Сайт корректно работает только через браузер ГуглХром". Или вообще установить софтину, которая знать не знает никаких прокси, потому что была написана первокурсником ПТУ на коленке.

[OffPlankton]

В 28.11.2022 в 12:46, 65465132152 сказал:

С закрытого сегмента есть доступ к таким системам как ФИС ГИА и приема, фис ФРДО и прочим системам?

Раньше доступ к  ФИС ГИА и ФИС ФРДО был через VipNet, планировали постепенно переводить на закрытый сегмент через третий порт КШ. Как реализовано сейчас даже не знаю, скорее всего в разных регионах по разному. Поспрашиваю у коллег.

 

В 28.11.2022 в 12:55, Nickuz сказал:

а завтра придёт очередная указявка "провести тестирование учащихся на ресурсе чего-то-там.ру. Сайт корректно работает только через браузер ГуглХром". Или вообще установить софтину, которая знать не знает никаких прокси, потому что была написана первокурсником ПТУ на коленке.

Ну ведь до сих пор не приходила, и подобные софтины никто не присылал, верно?)

[Nickuz]

В 29.11.2022 в 13:36, OffPlankton сказал:

Ну ведь до сих пор не приходила, и подобные софтины никто не присылал, верно?)

"Никогда такого не было, и вот опять!" (с) В.С. Черномырдин

Ошибаетесь, неверно. Будут примеры перед глазами - обязательно познакомлю.

[65465132152]

On 11/29/2022 at 11:36 AM, OffPlankton said:

аньше доступ к  ФИС ГИА и ФИС ФРДО был через VipNet, планировали постепенно переводить на закрытый сегмент через третий порт КШ. Как реализовано сейчас даже не знаю, скорее всего в разных регионах по разному. Поспрашиваю у коллег.

Хорошо бы. Ото платим кучу денег всяким интеграторам с лицензиями за то что 1 недельку в год работаем там

[casioddv]

В 25.11.2022 в 16:21, OffPlankton сказал:

Если вас не устраивает, как наемные работники делают вам ремонт, то вы ведь будете обращаться к их бригадиру, а не пинать каждого в отдельности? В этом примере РТК - наемный работник, а Минцифры - бригадир. Меня еще в бытность монтажником научили одной премудрости: "Чтобы  не было п*здежу - делай всё по чертежу. А если начался п*здежь - покажи чертеж".

 

 

По поводу исполнителя и бригадира - Есть единственный способ связи - либо письмо на mcszo@digital.gov.ru, либо тел. 8 800 301 34 14 это Минцифра (казалось бы Бригадир) но все запросы они пересылают Монтажнику. А монтажник ссылается на ТЗ. И на этом все - Замкнутый круг. Ни Бригадир ни Монтажник взаимодействовать с конечным потребителем не хотят, ссылаясь на "ТЗ". Причем Монтажник никаких письменных ответов не дает, даже если обращение написано по электронке, только Устно,  Бригадир тоже.

И всем без разницы будет или нет работать твоя инфраструктура.

Мне кажется, что уважаемый OffPlankton должен понимать, что в современных условиях, прежде чем внедрять какую-либо схему взаимодействия (тем более на всю страну целиком) необходимо тестирование, наладка, решение возникающих вопросов, проблем и т.д. И это тестирование должно проходить не один месяц. После этого, с учетом потребностей потребителей и разрабатывается "ТЗ", а не наоборот.

P.S. Необходимо уже выходить из "бытности" 80гг., мир очень сильно изменился, а пока многоуважаемый РТК в ней пребывает, мы будем иметь то, что имеем.