Jump to content
Калькуляторы

Подключение школ к единой сети передачи данных (ЕСПД) Ростелеком

Слышал, что можно обратиться в ТП или написать письмо по поводу нехватки 100 мбит и тогда возможно, что будут мониторить трафик на предмет того хватает-ли 100 мбит или придется переводить на гигабит.
Мне вот и интересно. Кто-то делал уже так?

Share this post


Link to post
Share on other sites

Цитата

В первый раз среди ценных рекомендаций была использовать исключительно рабочие адреса электропочты, находящиеся на российских ресурсах.

 

... на платформу "Госвеб" свои сайты переводят школы и органы местного самоуправления. 
- Это улучшит степень защиты размещаемых персональных данных, а также обеспечит соответствие ресурсов нормативным правовым актам.

 

... с 1 декабря 2022 года адреса электронной почты, которые используются государственными органами и органами местного самоуправления, должны создаваться с использованием доменных имен и сетевых адресов, находящихся в российской национальной доменной зоне.

Постановление  №1934 

Share this post


Link to post
Share on other sites

У кого-нибудь отваливался DNS РТ?

Вчера всё работало, сегодня утром, чётко после каникул и того, как учебные кабинеты подключили - шиш. Не пигнуются оба DNS Ростелекома (ну и IP прокси контент-фильтра, если на то пошло).

Сижу, жду, пока перезвонят по заявке.

Share this post


Link to post
Share on other sites

 

Цитата

Кто-то уже делал заявку на перевод 100мбит канала на гигабит?

Госконтракт этого не предусматривает, возможно только: до 50 Мбит/с - сельская местность, 100 Мбит/с - город. Всё остальное, возможно, но только через дополнительную ежемесячную плату оплачиваемую вашей организацией. 

 

    

 

 

Share this post


Link to post
Share on other sites

Цитата

... на платформу "Госвеб" свои сайты переводят школы и органы местного самоуправления. 
- Это улучшит степень защиты размещаемых персональных данных, а также обеспечит соответствие ресурсов нормативным правовым актам.

Жаль только, что за те деньги, этот госвеб не могли сваять, а купили готовые сайты netcat. Эти клоуны с госвеб баги не могут уже пол года исправить, на все отвечают, а вы сделайте вот так и будет работать, но не так как нужно. Я уж молчу про авторизацию любого пользователя под администратором любого сайта госвеб. Я им в поддержку даже видео присылал, как получается авторизоваться как администратор любого сайта на госвеб, с любой учетки госуслуг. Месяца 4 прошло, всем пофиг, так же работает.
А что уж говорить про мелкие проблемы, например:
Наш город приравнен к районам крайнего севера, из-за чего довольно часто бывают актированные дни, о которых надо в короткий срок утром оповестить всех участников образовательных отношений и сайт является обязательным способом оповещения. В 6 утра пользователь должен: включить ПК (потому что с телефона взблюешь зайти в редактор госвеб), зайти на страничку авторизации и пройти авторизацию через госуслуги (которые, кстати, не всегда по утрам себя адекватно ведут), зайти в редактор или в упрощенный ввод и вписать необходимый текст (даже до шаблонов додуматься не могут), поставить название новости, отметить категорию и сохранить. И это все сопровождается дикими лагами админ части госвеб.
Я вообще про госвеб могу много написать. Я и поддержке уже много настрочил и высказался, что я о них думаю, когда они мой запрос обрабатывали 2 недели и не пришли к решению проблемы.


Вопрос про ЕСПД к тем, кто свою проксю зацепил на прокси ЕСПД.
Например, Squid
Есть пользователи у кого часто в логе Squid лезет такая ошибка?
 

 TCP connection to 10.0.X.52/3128 failed current master transaction: master454338

Из видимой проблемы, лично я ничего не отмечаю. Но пролетает довольно часто. Есть вероятность, что кто то из учителей в этот момент получает ошибку (пусть это будет даже не сама страница, а подгружаемая картинка, логотип, css, js Файл странички, метрика).

В дополнении, при тестах выяснилось, что временами действительно что нибудь, да отваливается. То на сайт не заходит, то squid пустой ответ получает, то еще какой нибудь цирк.

У нас с прокси в регионе я заметил странную вещь, а именно: если за nat-ом с одного IP выпускать пользователей (сейчас речь идет без использования Squid, а вручную пропись прокси на каждом пк) и какой то пользователь будет получать не web странички, а переводить соединения в CONNECT (там, websocket, онлайн конференции, скайп, зум, вебинары, удаленный доступ и любой другой трафик, в котором пролетают бинарные данные, а не WEB), то при больших количествах на другие запросы прокси ростелекома начинает дропать подключения к ней (допустим других пользователей кто с этим же IP выходит). Если воткнуть в коммутатор другой пк и уже с другим IP выданным рт, то в этот момент другой ПК нормально работает с прокси.
Выход тут из ситуации писали, если использовать свой прокси, то можно на сетевое устройство прописать несколько IP и в squid на разных пользователей прописать разный tcp_outgoing_address . Но вот получается беда, если прописать 10 и более IP то прокси РТ начинает опять дропать подключения (причем все, без разбора), а если физически воткнуть пк в их порт через коммутатор, то он работает. Такое ощущение, что криптошлюз контролирует количество подключений, да не по IP, а по MAC и при превышении начинает дропать соединения.
Чтобы простым способом это проверить, можно на NAT устройстве, допустим, сервер, поднять Redsocks, на него все соединения с портов 80, 443 заворачивать, а его на прокси. Он автоматом все соединения гонит через CONNECT (потому что в ssl_bump он не умеет) и при этом пару пользователей оставить с вручную прописанными прокси, но которые будут выходить в интернет через тот же NAT. Тут то и получится, когда появляется много пользователей, которые бегут через Redsocks, то пользователи с обычным прописанным прокси будут лапу сосать, пока количество соединений не уменьшиться. И выпуск пользователей с вручную прописанным прокси через другой IP

iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.1.100-192.168.1.155 -o enp4s0 -j SNAT --to-source 10.xxx.xxx.xxx

нифига погоды не делает.
А настройку большой кучи мостов с разными MAC и гонять через разные таблицы маршрутизации - я не выдержу.

С РТ я общался на эту тему, т.к. изначально все работало, ограничения появились в один прекрасный день, в начале февраля. Тут то РТ начал упираться в то, что по проекту IP должны быть на каждом ПК прописаны от ЕСПД, а не за натом. Эти клоуны еще приходили, хотели проверить, что действительно все сидят с IP от еспд, а не за натом.

Edited by NarkoHeal

Share this post


Link to post
Share on other sites

@NarkoHeal Надо сразу уже писать в прокуратуру. Пока всю эту шваль распилочную не начнут интенсивно сажать - ничего не поменяется.

Share this post


Link to post
Share on other sites

В 14.01.2023 в 19:27, sdy_moscow сказал:

Пока всю эту шваль распилочную не начнут интенсивно сажать

Пчёлы пойдут против мёда? ))

Share this post


Link to post
Share on other sites

Подскажите, кто-нибудь сталкивался с сообщением в Яндекс-браузер якобы о мошеннических сайтах при подключении через ЕСПД? После Нового года такое стало вылазить при попытке зайти практически на любой сайт. В адресной строке при этом фигурирует переход на espd.wifi.rt.ru . Если компьютер выходит в сеть не через прокси (отключена фильтрация), то всё нормально. Пока решаю эту проблему отключением проверки безопасности сайтов в настройках браузера.

Share this post


Link to post
Share on other sites

Цитата

В адресной строке при этом фигурирует переход на espd.wifi.rt.ru . Если компьютер выходит в сеть не через прокси (отключена фильтрация), то всё нормально. Пока решаю эту проблему отключением проверки безопасности сайтов в настройках браузера.

Сертификат https://espd.wifi.rt.ru/settings/cert-install установлен?

Share this post


Link to post
Share on other sites

nightflash Подскажите, кто-нибудь сталкивался с сообщением в Яндекс-браузер якобы о мошеннических сайтах при подключении через ЕСПД? После Нового года такое стало вылазить при попытке зайти практически на любой сайт. В адресной строке при этом фигурирует переход на espd.wifi.rt.ru . Если компьютер выходит в сеть не через прокси (отключена фильтрация), то всё нормально. Пока решаю эту проблему отключением проверки безопасности сайтов в настройках браузера.

 

У нас такая-же история выходит, причем тоже стало после Нового года, сертификаты установлены были ранее, до Нового года все работало хорошо. Сертификаты ставили не через программу-установщик, а в ручном режиме.

Share this post


Link to post
Share on other sites

Конечно. Год всё работало отлично. В общем, как я понял, в Яндекс браузере новая система защиты от мошеннических сайтов. И она несовместима с идеей MitM в ЕСПД. Поэтому и ругается. Только один способ: отключать её.

Share this post


Link to post
Share on other sites

Здравствуйте!

У меня перестала открываться Яндекс почта!

Звонил в тех поддержку они не знают что делать, но у меня всю школа на Яндекс почте!!!

Крутит крутит, но не заходит!

Может кто нибудь сталкивался?

Как это победить?

Share this post


Link to post
Share on other sites

 @YZol 

32 минуты назад, YZol сказал:

Здравствуйте!

У меня перестала открываться Яндекс почта!

Звонил в тех поддержку они не знают что делать, но у меня всю школа на Яндекс почте!!!

Крутит крутит, но не заходит!

Может кто нибудь сталкивался?

Как это победить?

 

Выдернуть питание из криптошлюза и воткнуть обратно. Обычно с некоторыми случаями с проблемами открытия сайтов - проблему решает.

Edited by NarkoHeal

Share this post


Link to post
Share on other sites

3 часа назад, YZol сказал:

Здравствуйте!

У меня перестала открываться Яндекс почта!

Звонил в тех поддержку они не знают что делать, но у меня всю школа на Яндекс почте!!!

Крутит крутит, но не заходит!

Может кто нибудь сталкивался?

Как это победить?

 

Никак, проблема глобальная по Сибири. Вопрос решается на уровне магистральных сетей, перезагрузка КШ тут не поможет.

Share this post


Link to post
Share on other sites

2 часа назад, YZol сказал:

Да сайты открываются!

Только Яндекс Почта проблема!

Перезагрузка КШ не помогает

Сорри, забыл уточнить сразу, что проблема глобальная именно с ресурсами Яндекса. Причем именно через прокси, через ЕСИА проблема не фиксировалась. Весь остальной интернет работает нормально, и через прокси и через ЕСИА.

 

15 часов назад, OKOIPT сказал:

Пермский край, сайты тоже туго открываются, целый день такая проблема. Перезагрузка КШ не помогла.

В вашем регионе должно нормально работать через ЕСИА (авторизация через Госуслуги). Если еще не пользовались - https://espd.wifi.rt.ru/filtering/disable  тут есть все инструкции по настройке, достаточно выбрать свой регион.

Share this post


Link to post
Share on other sites

45 минут назад, YZol сказал:

А нам то что делать?

В случае массовых аварий - только ждать. А вообще проблема в Яндексом только решилась, проверяйте.

Share this post


Link to post
Share on other sites

Еще вопрос!

Если после криптошлюза Ростелекома стоят Wi-Fi точки доступа школьные их как то особенно нужно настраивать? 

У нас все по умолчанию в них стоит!

Может есть инструкция?

Share this post


Link to post
Share on other sites

В 27.01.2023 в 09:35, YZol сказал:

Еще вопрос!

Если после криптошлюза Ростелекома стоят Wi-Fi точки доступа школьные их как то особенно нужно настраивать? 

У нас все по умолчанию в них стоит!

Может есть инструкция?

 Тут зависит от схемы подключения и самих точек. Если точки максимально простые, без функций маршрутизации (работающие как коммутаторы с wifi), то настроить на них можно разве что саму беспроводную сеть, ip из вашей сети для управлению точкой и пароль для того же.

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.