[lea-nsk]

5 минут назад, shipiguzeff сказал:

При этом в закрытом сегменте инета нет и учителям как-то надо постоянно переключаться с открытого сегмента в закрытый (смена провода и ip)

В закрытый сегмент учителям нечего ходить, он предназначен только административного персонала работающего с закрытыми сетевыми ресурсами...

Для закрытого сегмента ЕСПД необходимо строить отдельную ЛВС отдельных должностных лиц, которым требуется доступ.

 

 

 

[shipiguzeff]

6 минут назад, lea-nsk сказал:

он предназначен только административного персонала работающего с закрытыми сетевыми ресурсами...

 

 

 

А вот это уже интереснее, меня заверяли что доступ в электронный журнал будет только из закрытого сегмента и потому нужен всем учителям. Спасибо за разъяснения

[lea-nsk]

33 минуты назад, shipiguzeff сказал:

доступ в электронный журнал будет только из закрытого сегмента

Там скорее всего, подразумевалась работа с движением учащихся и работа с персональными данными, когда требуется: занесение новых, отчисление, перевод...  - для этих целей должен работать отдельный сетевой ресурс доступный только в закрытом сегменте ЕСПД, который должен быть недоступен обычным сотрудникам школы.

 

В остальных случаях, для работы с ЭШ требуется открытый сегмент (обычный интернет), где учителя работают с электронным журналом ЭШ...

[Nickuz]

22 часа назад, lea-nsk сказал:

В закрытый сегмент учителям нечего ходить, он предназначен только административного персонала работающего с закрытыми сетевыми ресурсами...

"Страшно далеки они от народа".

Кому вообще в голову могла прийти мысль, что есть сотрудники, которые работают только с внутренними ресурсами и не выходят в интернет? Или предполагается ставить отдельный ПК для закрытого сегмента и организовывать к нему очередь?

[OffPlankton]

22 часа назад, Nickuz сказал:

"Страшно далеки они от народа".

Кому вообще в голову могла прийти мысль, что есть сотрудники, которые работают только с внутренними ресурсами и не выходят в интернет? Или предполагается ставить отдельный ПК для закрытого сегмента и организовывать к нему очередь?

 

По идее у вас должен быть регламент по работе с ресурсами закрытого сегмента сети от Минпросвещения. Если его нет - можете попробовать затребовать. Ведь если официальных правил нет, то можно делать как угодно.

[Nickuz]

1 час назад, OffPlankton сказал:

 

По идее у вас должен быть регламент по работе с ресурсами закрытого сегмента сети от Минпросвещения. Если его нет - можете попробовать затребовать. Ведь если официальных правил нет, то можно делать как угодно.

Видите ли, Минбеспросвет делает иначе. Сначала они спускают грозную бумагу директорам "почему вы не заполняете данные в системе XYZ?", затем из них выпытывается информация, как вообще туда можно попасть, а ещё через пару месяцев приходит та самая инструкция, в которой написано, что это, и по какому регламенту работать.

[OffPlankton]

57 минут назад, Nickuz сказал:

Видите ли, Минбеспросвет делает иначе. Сначала они спускают грозную бумагу директорам "почему вы не заполняете данные в системе XYZ?", затем из них выпытывается информация, как вообще туда можно попасть, а ещё через пару месяцев приходит та самая инструкция, в которой написано, что это, и по какому регламенту работать.

Ну так отказывайтесь что либо делать, пока не будет инструкции. Аргументируйте тем, что в случае ошибки вопросы у прокуратуры будут именно к вам.

[NarkoHeal]

В 15.03.2023 в 12:48, shipiguzeff сказал:

Привет Всем! Расскажите кто как вышел из положения с разделением сети на открытый и закрытый сегмент? При общении с РТК я так понял что они не должны быть завязаны на один маршрутизатор и идеальная схема такова что: 

Закрытый сегмент: 3 порт - комок - ПК со статикой
Открытый сегмент: 2 порт - комок - ПК со статикой

При этом в закрытом сегменте инета нет и учителям как-то надо постоянно переключаться с открытого сегмента в закрытый (смена провода и ip)

Берете любой роутер с возможностью iptables (или его вытекающие), для закрытого сегмента добавляете таблицу маршрутизации и выставляете ей маркировку, например так:

echo '200 inet_closed' >> /etc/iproute2/rt_tables
ip rule add from IP_сетевой_закрытой_сети table inet_closed
ip rule add fwmark 4 table inet_closed
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o имя_сетевой_карты_смотрящей_в_закрытый_сегмент -j SNAT --to-source IP_сетевой_закрытой_сети

Дальше маркируете трафик, который должен идти по этой таблице, а не маркированный по основной, например, так:

iptables -A PREROUTING -i имя_сетевой_смотрящий_в_локальную_сеть -s 192.168.0.0/16 -d ip_нужного_ресурса -t mangle -j MARK --set-mark 4

(можно добавить и порт и протокол)

И будет у Вас нужный трафик с любого ПК из лвс бежать в закрытый, а не нужный в обычный.

Это при условии, что у Вас обычная сеть за nat и вы гоните каждого пользователя с нужным IP в мир.
 

iptables -t nat -A POSTROUTING -s локальный_IP_нужного_ПК_в_сети -o сетевая_смотрящая_в_открытый_сегмент -j SNAT --to-source нужный_IP_1_для_выхода_в_открытую_сеть
iptables -t nat -A POSTROUTING -s локальный_IP_нужного_ПК_в_сети -o сетевая_смотрящая_в_открытый_сегмент -j SNAT --to-source нужный_IP_2_для_выхода_в_открытую_сеть
iptables -t nat -A POSTROUTING -s локальный_IP_нужного_ПК_в_сети -o сетевая_смотрящая_в_открытый_сегмент -j SNAT --to-source нужный_IP_3_для_выхода_в_открытую_сеть

предварительно все IP адреса прописаны в netplan (или что у Вас управляет настройками сетевой карты) и никакого маскарада.

Так и контактировать трафик не будет, и маршрут сделать можно только для нужных ПК, и кабель передергивать не придется.

Изменено 21 марта, 2023 пользователем NarkoHeal

[NarkoHeal]

В 27.02.2023 в 14:04, OffPlankton сказал:

Мне ответили, что в вашем регионе закрытый сегмент функционирует. ip|маску|шлюз можете узнать в ТП ЕСПД, а dns (если он нужен) и адреса ресурсов нужно запросить в региональном отделении Минцифры.

 

Были сообщения, что ФИС ФРДО и ФИС ГИА будут включены в закрытый сегмент, но сроков решения не было, решение оставалось за Минцифрой РФ. Вероятно что всё действительно осталось на старой схеме.

Сегодня дошли руки наконец-то проверить теорию.
Снова воткнул отдельный ноут в этот закрытый порт, настроил сетевую карту по выданным параметрам для закрытого сегмента, попробовав достучаться до нужного IP, ожидаемо получил фигу.

Позвонил в минцифры. Попросил их предоставить данные о доступных ресурсах в закрытой сети. Отвечала девушка. После, еще минут 10 ей объяснял, что это за закрытый сегмент. Затем, тетенька скинула мне табличку excel на почту, называемой "Перечень открытых ресурсов".
Я эту табличку при ней мельком глянул, удивился, что в этой таблички нужного региона вообще нет. Далее я пришел в шок от увиденных открытых ресурсах "http://localhost/", а еще от IP вида 20.2.0.34827 .  <- Ну вот как я должен на это реагировать? Еще интереснее то, что кто то в табличке присвоил статус "Доступен" к локалхосту на порту 28016. Они это как проверяли?

 

Ну ладно, там есть в списке и доменные имена, а dns для закрытого сегмента то мне не дали. Затем долго девушке объяснял, что хрен IP адрес домена можно получить без dns. Далее меня переключили на другую даму, у которой я попросил проверить выданные параметры настройки сети. Они оказались верными.

 

После этого, естественно, попросили сделать пинг и трасировку до нужных ресурсов, которые, естественно, недоступны, и отправить это дело на их почту.

После отправки, уже перезвонили с РТ, поговорили, пообещали связаться со своей службой безопасности и уточнить доступные на текущий момент ресурсы, а так же о планируемых.

Часа через 2 перезвонили, сказали, что днс прописывать не надо. На вопрос, как тогда по url стучаться, они не знают. Далее сказали, на текущий момент со стороны Ростелекома сегмент закрытой сети работает, но, видимо, нужные ресурсы со своей стороны не подключились к этому сегменту. И список доступных ресурсов тоже никто не готов выдать и скорее всего доступных ресурсов по нашему региону, просто нет.

Я уж не знаю, то ли я поддержке что то не так объясняют, то ли поддержка чего не знает, то ли реально все через одно место сделано.
В общем, пока хрен, а не закрытый сегмент.

Изменено 21 марта, 2023 пользователем NarkoHeal

[lea-nsk]

40 минут назад, NarkoHeal сказал:

В общем, пока хрен, а не закрытый сегмент.

Всё зависит от вашего региона, например, у нас в НСО, DNS сервер закрытого сегмента не всегда работает..., поэтому, мы используем прямую ссылку на нужный IP адрес удалённого ресурса.
В общем долбите вашу местную минцифру. 

[Nickuz]

14 часов назад, NarkoHeal сказал:

Часа через 2 перезвонили, сказали, что днс прописывать не надо. На вопрос, как тогда по url стучаться, они не знают.

Эти товарищи могут посоветовать и в hosts прописать.

[OffPlankton]

15 часов назад, NarkoHeal сказал:

Далее сказали, на текущий момент со стороны Ростелекома сегмент закрытой сети работает, но, видимо, нужные ресурсы со своей стороны не подключились к этому сегменту. И список доступных ресурсов тоже никто не готов выдать и скорее всего доступных ресурсов по нашему региону, просто нет.

видимо канал как таковой в регионе был организован, но со стороны Минцифры либо серверов пока нет, либо предоставить адреса некому.

[shipiguzeff]

@NarkoHeal У меня на микротике организован бридж с выделенной школе сетью и раздачей адресов по dhcp. Без NAT. И мне товарищи из РТК строго настрого рекомендовали не мешать на нём открытый и закрытый сегмент ибо при первой же проверке можем получить хороший штраф. Ещё упомянули про типа специальный настроенный маршрутизатор сертифицированный ФСТЭК, но я уже был в лёгком шоке и пропустил мимо ушей про него.

@OffPlankton можете рассказать про чудо маршрутизатор Eltex через который только допустимо работать нашему чудо интернету?)

 

@NarkoHeal Первоначально у меня был NAT, но при этом скорость интернета резалась втрое, т.е. вместо 100Мбит было только 30 и только потом до меня дошло что действовала схема нат за натом и из-за этого скорость и резалась.

[NarkoHeal]

12 часов назад, shipiguzeff сказал:

@NarkoHeal У меня на микротике организован бридж с выделенной школе сетью и раздачей адресов по dhcp. Без NAT. И мне товарищи из РТК строго настрого рекомендовали не мешать на нём открытый и закрытый сегмент ибо при первой же проверке можем получить хороший штраф. Ещё упомянули про типа специальный настроенный маршрутизатор сертифицированный ФСТЭК, но я уже был в лёгком шоке и пропустил мимо ушей про него.

Ребята из РТК, которые приходили и что то рассказывали, сами толком ничего не знают. Даже сложно представить, какой они коап попытались бы придумать. Нам они так прямо и заявляли. А при правильной маршрутизации, трафик никак не будет смешиваться. Я уж не говорю о том, что можно сделать по нажатии кнопочки в браузере, трафик переключать с одной сети на другую, при этом блокировать посторонний.

Интересно, как они это вообще проверять собираются.
Да и зона ответственности Ростелекома до выхода порта криптошлюза. Далее, например, мы, тупо Ростелеком не пустили, когда они захотели скорость проверить.

 

12 часов назад, shipiguzeff сказал:

@NarkoHeal Первоначально у меня был NAT, но при этом скорость интернета резалась втрое, т.е. вместо 100Мбит было только 30 и только потом до меня дошло что действовала схема нат за натом и из-за этого скорость и резалась.

нат тоже был на микротике? Какой именно?
Мы прозрачный нат на бубунте крутим, с парой сетевушек для домашнего использования. Спидтест, что в сингл, что в мульти, до 130мбит/с выстреливает.

 

 

12 часов назад, shipiguzeff сказал:

@OffPlankton можете рассказать про чудо маршрутизатор Eltex через который только

допустимо работать нашему чудо интернету?)

 

Там же Eltex коммутатор стоит, маршрутизатор какой то континет. Оно, судя по всему, поднимает VPN до какой то, неведомо защищенной сети, на скорости до 150мбит/с, судя по инструкции к нему. Ну и по техзаданию это написано.

Изменено 23 марта, 2023 пользователем NarkoHeal

[shipiguzeff]

13 минут назад, NarkoHeal сказал:

Да и зона ответственности Ростелекома до выхода порта криптошлюза. Далее, например, мы, тупо Ростелеком не пустили, когда они захотели скорость проверить.

Проверяльщики не из РТК будут, а из министерств я так понял.

 

13 минут назад, NarkoHeal сказал:

нат тоже был на микротике?

Ага

 

14 минут назад, NarkoHeal сказал:

Там же Eltex коммутатор стоит, маршрутизатор какой то континет.

Ага стоят, но континент это вроде криптошлюз, но не маршрутизатор. Я находил типа Проекта ЕСПД в котором фигурировал сервисный маршрутизатор Eltex ESR-20 и типа только в нём можно мешать закрытый и открытый сегмент, так как его благословил ФСТЭК.

[NarkoHeal]

12 минут назад, shipiguzeff сказал:

Ага стоят, но континент это вроде криптошлюз, но не маршрутизатор. Я находил типа Проекта ЕСПД в котором фигурировал сервисный маршрутизатор Eltex ESR-20 и типа только в нём можно мешать закрытый и открытый сегмент, так как его благословил ФСТЭК.

Т.е., то, что ПК подключенный к нему, к которому уже идут смешанный трафик и который может его слать, куда винда вздумает, это пожалуйста, а если это сделать на другом роутере, который можно тонко настроить, то указкой по лбу на?

Изменено 23 марта, 2023 пользователем NarkoHeal

[shipiguzeff]

@NarkoHeal Получается так))

[NarkoHeal]

36 минут назад, shipiguzeff сказал:

Проверяльщики не из РТК будут, а из министерств я так понял.

Вроде как, проверяет только прокуратура, и только на соблюдение условий контент фильтрации для детей.

Изменено 23 марта, 2023 пользователем NarkoHeal

[OffPlankton]

В 22.03.2023 в 20:46, shipiguzeff сказал:

можете рассказать про чудо маршрутизатор Eltex через который только допустимо работать нашему чудо интернету?)

Вы про криптошлюз Eltex esr-200 или про маршрутизатор Eltex esr-10?)

 

22 часа назад, shipiguzeff сказал:

Ага стоят, но континент это вроде криптошлюз, но не маршрутизатор. Я находил типа Проекта ЕСПД в котором фигурировал сервисный маршрутизатор Eltex ESR-20 и типа только в нём можно мешать закрытый и открытый сегмент, так как его благословил ФСТЭК.

Если у вас регион, в котором действует проект ЦОС, то стандартная схема такая: коммутатор доступа (иногда это может быть оптический модем или вообще просто кабель с улицы, зависит от оператора последней мили) -> криптошлюз (Континент, Eltex, S-Terra) -> маршрутизатор Eltex esr-10 -> 2 и более poe-коммутатора с подключенными в них wifi-точками, камерами, видеорегистратором и проводной ЛВС школы. Могут быть нюансы) Например в Новосибирской области во многих школах стоит оборудование от ЦИТ (esr-20, коммутаторы, wifi и т.д.) подключенное сразу в esr-10 и вся ЛВС находится как раз за esr-20 ЦИТа.

В случае если регион не ЦОС, то схема упрощается и оборудование ОУ подключается сразу во 2-ой порт криптошлюза.

В обоих случаях закрытый сегмент работает только через 3-ий порт криптошлюза. По регламенту (который, впрочем, я в глаза не видел, а только слышал о нём) к закрытому сегменту должен быть подключен один или несколько ПК, с которых будет доступ только на ресурсы закрытой сети, без доступа в интернет. Похожая схема работает например в госучреждениях вроде Росрезерва, только там всё наоборот - из сети предприятия доступа в интернет вообще нет, а для отправки почты, например, есть один специальный ПК в закрытой комнате с журналом посещения. 

[NarkoHeal]

@OffPlankton не подскажете информацию. Сейчас в ЕСПД есть возможность разблокировки для конкретного выделенного IP в организацию, до конкретного наружного IP по конкретному протоколу и порту, который еще называют, разблокировкой ПО. А есть ли в регламенте, возможность полной разблокировки для нескольких IP в организации? Допустим, чтобы серверное оборудование, имеющее на борту только терминал (не имеющих браузеров для авторизации на госуслугах), могли в интернет стучаться куда маршруты глядят? Конечно, в рамках ограничения роскомнадзора.

Изменено 24 марта, 2023 пользователем NarkoHeal

[OffPlankton]

1 час назад, NarkoHeal сказал:

не подскажете информацию. Сейчас в ЕСПД есть возможность разблокировки для конкретного выделенного IP в организацию, до конкретного наружного IP по конкретному протоколу и порту, который еще называют, разблокировкой ПО. А есть ли в регламенте, возможность полной разблокировки для нескольких IP в организации? Допустим, чтобы серверное оборудование, имеющее на борту только терминал (не имеющих браузеров для авторизации на госуслугах), могли в интернет стучаться куда маршруты глядят? Конечно, в рамках ограничения роскомнадзора.

Как ни странно, но обычно подобные правила прописываются для всей сети ОУ, а не для отдельных ip) Но лучше в заявлении всё-таки указать список необходимых ip, лишним не будет.

[NarkoHeal]

2 часа назад, OffPlankton сказал:

Как ни странно, но обычно подобные правила прописываются для всей сети ОУ, а не для отдельных ip) Но лучше в заявлении всё-таки указать список необходимых ip, лишним не будет.

Как это в заявлении корректно описать? В шаблоне то они просят порт и протокол, а тут все порты и протоколы требуются.
Кстати, по одному порту UDP мы указывали один порт, они один порт и открыли. (правда, с одного ли ip, не проверял) Даже под шумок icmp не открыли нам, хотя по телефону они говорят, что маршрут прописывают, который раза 3 отваливался.

Изменено 24 марта, 2023 пользователем NarkoHeal

[lea-nsk]

В 24.03.2023 в 18:15, NarkoHeal сказал:

Как это в заявлении корректно описать?

Для этих целей был создан ЛК https://espd.wifi.rt.ru/cabinet

[NarkoHeal]

4 часа назад, lea-nsk сказал:

Для этих целей был создан ЛК https://espd.wifi.rt.ru/cabinet

Ха! Мы открывали один единственный порт до одного IP, отправив заявление в ЛК. Нас послали с их же ЛК, мол, такие заявки надо делать только через почту минцифры и закрыли тикет.

[lea-nsk]

15 минут назад, NarkoHeal сказал:

Нас послали с их же ЛК, мол, такие заявки надо делать только через почту минцифры и закрыли тикет.

Какой смысл слать заявку через электронную почту mcszo@digital.gov.ru если сообщение пересылается и регистрируется в тп РТК? 

В ЛК такие заявления должны составляться через вход учётной записи директора, иначе ваша заявка будет иметь статус обычного обращения в тп... 

Изменено 26 марта, 2023 пользователем lea-nsk