Jump to content
Калькуляторы

Подключение школ к единой сети передачи данных (ЕСПД) Ростелеком

В 30.07.2023 в 15:55, NarkoHeal сказал:

@OffPlankton подскажите. Все параметры блокировок и открытых портов до конкретных IP, находятся на стороне ростелкома или непосредственно на самом криптошлюзе все конфигурируется?

Блокировки которые при работе через прокси появляются, это вообще отдельная система, которой отдельные люди занимаются. А открытие портов осуществляется на  МСЭ (межсетевой экран). Криптошлюз шифрует и маршрутизирует трафик, на нём правила только для внутренней сети РТК. Всё что идёт наружу в интернет, проходит через МСЭ и фильтруется там.

 

В 30.07.2023 в 08:57, NarkoHeal сказал:

Если есть нормальный маршрутизатор, гоните каждого пользователя в espd с разным ip. (Так называемый, прозрачный нат) Внутри сети можете адресацию dhcp оставить прежнюю. Только желательно, чтобы либо каждое утро аренда ip у устройства либо заканчивалась, либо чтобы внутри сети ip не менялись и были привязаны к mac адресу.

Вообще не понимаю, какова цель всего цирка, чтобы пользователей принудить ходить через есиа. У нас большая часть коллег через есиа ходить не хочет. Они либо с фильтрами работают, либо wifi раздают с телефона.

В чем проблема авторизоваться придя на работу? Или это из серии "Назло бабушке отморожу уши"?

 

В 25.07.2023 в 07:51, Nickuz сказал:

Руками перебить всю сеть на статику? А учёт адресов вести в экселевской табличке? Да пусть горят в аду, делать то ведь больше нечего, как заменять собой DHCP сервер.

Подключаете ЛВС и ЕСПД в LFN-порты маршрутизатора, оставляете на нём только dhcp-сервер, настраиваете его чтобы раздавал подсеть ЕСПД - профит, никаких табличек и прочего онанизма. В случае если было установлено оборудование по проекту ЦОС, то там и так dhcp-сервер есть с сетью /23

Share this post


Link to post
Share on other sites

21 час назад, OffPlankton сказал:

В чем проблема авторизоваться придя на работу? Или это из серии "Назло бабушке отморожу уши"?

В том, что у нас на одно рабочее место по 3-4 хари, которые могут каждые 40 минут меняться. Авторизацию один пройдет и забудет ее сбросить и потом другой юзер под авторизацией не своей пользуется. РТ не могут осилить какое нибудь api, через которое можно будет скриптами отслеживать, был ли пользователь авторизован и с каким ip. Потом этими же скриптами, в случае выхода из домена или его блокировки, по запросу в api конкретую авторизацию можно было снести.
А вообще, правильная идея была бы, чтобы можно было через api еще и авторизовать конкретного пользователя, теми же скриптами, войдя пользователю в домен, можно было скриптиком через api повесить сессию к ip и не было **ли с открытием браузера и входом на страничку авторизации.
Не вопрос настрочить скрипты, которые будут нужные вызовы делать с необходимыми параметрами, API на стороне РТ никто не реализует.

 

Это еще не последний цирк. У нас в городе будут капремонты школ, в следствии которых, много школ отправят к нам, включая учителей, которых мы не сможем в госуслугах привязать к нашей организации, естественно, вход через ЕСИА встает раком.

Edited by NarkoHeal

Share this post


Link to post
Share on other sites

В 30.07.2023 в 11:54, jffulcrum сказал:

Думаю, в каждом компе будет торчать свисток какой-нибудь Йоты и безопасность резко возрастет, прямо очень. Проверено госами и военными неоднократно.

Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств.

 

23 часа назад, OffPlankton сказал:

Подключаете ЛВС и ЕСПД в LFN-порты маршрутизатора, оставляете на нём только dhcp-сервер, настраиваете его чтобы раздавал подсеть ЕСПД - профит, никаких табличек и прочего онанизма. В случае если было установлено оборудование по проекту ЦОС, то там и так dhcp-сервер есть с сетью /23

1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК?

2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями?

3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться".

Edited by Nickuz

Share this post


Link to post
Share on other sites

Который год читаю тему и каждый раз удивляют, а реализаторы от РТ хоть понимают что они пытаются реализовать? какой то велосипед на костылях с привязанными коньками, прописки... разрешения... сертификаты.. прокси..

Оставили бы в покое внутреннюю сеть школы и не трогали, настроили свой сервер pptp на границе и раздали бы учителям учётки персональные, если уж такого контроля хочется, с любого устройства поднималась бы туннелька для интернета, а там уже крути-верти на сервере что хочешь и как хочешь

Share this post


Link to post
Share on other sites

6 минут назад, Nickuz сказал:

Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств.

 

1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК?

2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями?

3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться".

 

Share this post


Link to post
Share on other sites

9 минут назад, Nickuz сказал:

Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств.

 

1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК?

2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями?

порты LAN.. в настройках роутера есть настройки DHCP, там задаются границы пула, адресация подсети и адреса шлюза с ДНСами, настроить роутер на адрес к примеру 192.168.0.250 к примеру и в настройках DHCP уже указать адрес пула 192.168.0.10-192.168.0.200, адрес шлюза - еспдшный шлюз и днсы каки вам можно, или адрес того же шлюза

Share this post


Link to post
Share on other sites

9 минут назад, sheft сказал:

порты LAN.. в настройках роутера есть настройки DHCP, там задаются границы пула, адресация подсети и адреса шлюза с ДНСами, настроить роутер на адрес к примеру 192.168.0.250 к примеру и в настройках DHCP уже указать адрес пула 192.168.0.10-192.168.0.200, адрес шлюза - еспдшный шлюз и днсы каки вам можно, или адрес того же шлюза

Еще раз обновлю ТЗ: в рамках ЕСПД выдана одна подсеть, по факту их нужно больше 5. Резать ЕСПДшную сеть - хостов не хватает.

Share this post


Link to post
Share on other sites

7 часов назад, Nickuz сказал:

Еще раз обновлю ТЗ: в рамках ЕСПД выдана одна подсеть, по факту их нужно больше 5. Резать ЕСПДшную сеть - хостов не хватает.

Так они же по заявке могут и 5 подсетей выдать.

У Вас в сети 1279 устройств или около того?

Edited by NarkoHeal

Share this post


Link to post
Share on other sites

есть подозрение, это чтобы компьютеры разных подсетей не пересекались, но vlanы по какой то причине не подходят, возможно коммутаторы неуправляемые

Share this post


Link to post
Share on other sites

Да, это VLANы.  Да, это разные типы устройств и соответственно, зоны безопасности. Ок, выдадут мне подсети, а терминировать их будет всё тот же криптошлюз, к которому у меня нет доступа? И как я буду управлять ядром своей L3 сети? NAT, логи, L3-L7 fw эта коробулька потянет?

Share this post


Link to post
Share on other sites

2 часа назад, Nickuz сказал:

Да, это VLANы.  Да, это разные типы устройств и соответственно, зоны безопасности. Ок, выдадут мне подсети, а терминировать их будет всё тот же криптошлюз, к которому у меня нет доступа? И как я буду управлять ядром своей L3 сети? NAT, логи, L3-L7 fw эта коробулька потянет?

Я же Вам говорю, заведите прозрачный нат. Хоть на бубунте с fw и суч*ами. И будете полетом внутреннего трафика управлять, параллельно отправляя часть трафика на беспроводной wifi мост соседнего дома. От них все равно вменяемой схемы не добьешься. Те, кто тз составлял, думали, что во всех школах все в неуправляемые коммутаторы втыкалось, которые потом приходили в какой нибудь 2640u или hg8245. К сожалению, таких школ подавляющее большинство было. У некоторых еще и интернет был только с контент фильтрацией, который при замене терминалов, сами ребята с РТ запустить не могли.

Edited by NarkoHeal

Share this post


Link to post
Share on other sites

22 часа назад, NarkoHeal сказал:

Я же Вам говорю, заведите прозрачный нат. Хоть на бубунте с fw и суч*ами. И будете полетом внутреннего трафика управлять, параллельно отправляя часть трафика на беспроводной wifi мост соседнего дома. От них все равно вменяемой схемы не добьешься. Те, кто тз составлял, думали, что во всех школах все в неуправляемые коммутаторы втыкалось, которые потом приходили в какой нибудь 2640u или hg8245. К сожалению, таких школ подавляющее большинство было. У некоторых еще и интернет был только с контент фильтрацией, который при замене терминалов, сами ребята с РТ запустить не могли.

А огребать за эту самодеятельность потом будет директор школы? Нет уж, спасибо. РТ 6 лярдов получил - пусть теперь у них голова болит, как. Их задача - не уронив наши сервисы, предоставить свои, а не наша задача - прогнуться под РТ так, чтобы они продолжали получать бабло.

Share this post


Link to post
Share on other sites

4 часа назад, Nickuz сказал:

Их задача - не уронив наши сервисы, предоставить свои

В договоре написано именно так?

Мне почему-то думается, что в договоре про ваши сервисы ни слова не будет.

Share this post


Link to post
Share on other sites

В 05.08.2023 в 14:17, alibek сказал:

В договоре написано именно так?

Мне почему-то думается, что в договоре про ваши сервисы ни слова не будет.

Прекрасный подход. Не подскажете, зачем нужна ЕСПД, которой даже воспользоваться никто не сможет?

Share this post


Link to post
Share on other sites

6 часов назад, Nickuz сказал:

Прекрасный подход. Не подскажете, зачем нужна ЕСПД, которой даже воспользоваться никто не сможет?

Обкатывают чебурнет.

Share this post


Link to post
Share on other sites

В 03.08.2023 в 12:39, Nickuz сказал:

1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК?

Про выдачу нескольких сетей /24 пока не встречал случаев, обычно в случае запроса выдается одна сеть нужного размера. В данным случае если нужно как минимум на пять /24 то выдадут одну /21. По отдельным подсетям можете попробовать запросить на ГЛ, чтобы был официальный ответ. Роутить их будет либо КШ, либо esr-10, если установлено оборудование по проекту ЦОС.

 

В 03.08.2023 в 12:39, Nickuz сказал:

2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями?

Очепятка, имелись в виду LAN-порты вашего маршрутизатора. Если проще - ваша ЛВС подключается к ЕСПД без маршрутизатора напрямую, а маршрутизатор включается только одним LAN-портом в ЛВС, дабы раздавать адреса ЕСПД по DHCP.

 

В 03.08.2023 в 12:39, Nickuz сказал:

3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться".

Не знаю что было на этапе развертывания, но сейчас сети школ изолированы друг от друга, доступ между ними возможен только по отдельному запросу в случае наличия нескольких корпусов одной школы с отдельными подключениями к ЕСПД. Или если филиалы в разных населенных пунктах.

Точно так же "шары всех школ по всей стране" не могли и не могут торчать "наружу" (если имеется в виду интернет), поскольку работают через NAT.

Share this post


Link to post
Share on other sites

В 05.08.2023 в 07:25, Nickuz сказал:

А огребать за эту самодеятельность потом будет директор школы? Нет уж, спасибо. РТ 6 лярдов получил - пусть теперь у них голова болит, как. Их задача - не уронив наши сервисы, предоставить свои, а не наша задача - прогнуться под РТ так, чтобы они продолжали получать бабло.

Тут нужно помнить, что "ваши" сервисы и "ваши" сети на самом деле не ваши - это всё принадлежит и подчиняется Минпросвещения, которому понадобился ЕСПД для централизованного предоставления каналов связи ОУ. Разработкой ТЗ и составлением договоров занималась и занимается Минцифра. Но у пользователей как всегда виноват исполнитель -  РТК. Ну, продолжайте в это верить, наверняка так легче ¯\_(ツ)_/¯

Share this post


Link to post
Share on other sites

23 часа назад, OffPlankton сказал:

Тут нужно помнить, что "ваши" сервисы и "ваши" сети на самом деле не ваши - это всё принадлежит и подчиняется Минпросвещения, которому понадобился ЕСПД для централизованного предоставления каналов связи ОУ. Разработкой ТЗ и составлением договоров занималась и занимается Минцифра. Но у пользователей как всегда виноват исполнитель -  РТК. Ну, продолжайте в это верить, наверняка так легче ¯\_(ツ)_/¯

Я вот сильно сомневаюсь, что минцифры без участия ртк занимался разработкой этого проекта. Ну нет там людей, хоть сколько нибудь понимающих маршрутизацию. Максимум, коммутатор могут в розетку включить.

Share this post


Link to post
Share on other sites

3 минуты назад, NarkoHeal сказал:

Я вот сильно сомневаюсь, что минцифры без участия ртк занимался разработкой этого проекта. Ну нет там людей, хоть сколько нибудь понимающих маршрутизацию. Максимум, коммутатор могут в розетку включить.

У них есть свои специалисты в каждом регионе. В Новосибирской области даже приходилось с ними контактировать, вполне адекватные сетевые инженеры.

Share this post


Link to post
Share on other sites

Здравствуйте, наконец-то я нашел хоть какое-то обсуждение этого "чудо интернета". Прошу помощи/совета. Подключили нам в прошлом году первый корпус, в этом году подключат и второй. Изначально сеть в обеих корпусах построена на тупых коммутаторах, из умного только микротики на конце объединенные VPN'ом чтобы ходить из корпуса в корпус. Собственно первоначально было решеное подключить только кабинеты информатики, для этого протянули отдельную ветку и вроде бы все работает. Но все компьютеры в домене, им нужно иметь связь с изначальной ЛС где стоят контроллеры домена. Через тот же самый микротик был сделан проброс из РТ сети в нашу основную сеть и все заработало. Но почти каждый запрос в поисковики требует от юзера ввести капчу и это еще пол беды, иногда капча просто не прогружается. Тех. поддержка не помогла, сославшись на то что из сети идет подозрительный трафик. Я пробовал оставить подключенным только один кабинет информатики где установлены только только приобретенные ноутбуки со свежей Windows, все равно поисковики ругаются на "подозрительный трафик". Немного сумбурно получилось, возможно что-то забыл. Знаний в сетях у меня не так много, а посему страдаем.

Share this post


Link to post
Share on other sites

3 часа назад, TimSmith сказал:

Если у школы появляется второй корпус, то РТ объединяет их в одну сетку?

Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так

Share this post


Link to post
Share on other sites

7 часов назад, FreePlayer сказал:

Но почти каждый запрос в поисковики требует от юзера ввести капчу и это еще пол беды, иногда капча просто не прогружается.

Ничего не сделать, такое и с полутора пользователями было.

На Яндексе вроде как капча всегда прогружается, можно хотя бы на него перевести.

 

  

5 часов назад, OffPlankton сказал:

Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так

 

Спасибо!

Edited by TimSmith

Share this post


Link to post
Share on other sites

В 24.08.2023 в 15:39, OffPlankton сказал:

Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так


Что в понимании "если он рядом" ? У нас корпус второй должны начать строить, приблизительная удаленность, метров 200 и интересует эта же ситуация.

Share this post


Link to post
Share on other sites

Коллеги, кто сталкивался с проблемой отсутствия кнопки авторизация на этом экране?
https://espd.wifi.rt.ru/images/doc-esia-01.png
Возникает случайно как на андроидах (в открытом окне каптивы), так и на шиндоусах, линуксах. Возникает просто рандомно. Раньше это лечилось заходя вручную на https://edu.wifi.rt.ru/ или тупо прописью айпишника любого в адресную строку. Сейчас не лечится. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.