OffPlankton Posted August 2, 2023 · Report post В 30.07.2023 в 15:55, NarkoHeal сказал: @OffPlankton подскажите. Все параметры блокировок и открытых портов до конкретных IP, находятся на стороне ростелкома или непосредственно на самом криптошлюзе все конфигурируется? Блокировки которые при работе через прокси появляются, это вообще отдельная система, которой отдельные люди занимаются. А открытие портов осуществляется на МСЭ (межсетевой экран). Криптошлюз шифрует и маршрутизирует трафик, на нём правила только для внутренней сети РТК. Всё что идёт наружу в интернет, проходит через МСЭ и фильтруется там. В 30.07.2023 в 08:57, NarkoHeal сказал: Если есть нормальный маршрутизатор, гоните каждого пользователя в espd с разным ip. (Так называемый, прозрачный нат) Внутри сети можете адресацию dhcp оставить прежнюю. Только желательно, чтобы либо каждое утро аренда ip у устройства либо заканчивалась, либо чтобы внутри сети ip не менялись и были привязаны к mac адресу. Вообще не понимаю, какова цель всего цирка, чтобы пользователей принудить ходить через есиа. У нас большая часть коллег через есиа ходить не хочет. Они либо с фильтрами работают, либо wifi раздают с телефона. В чем проблема авторизоваться придя на работу? Или это из серии "Назло бабушке отморожу уши"? В 25.07.2023 в 07:51, Nickuz сказал: Руками перебить всю сеть на статику? А учёт адресов вести в экселевской табличке? Да пусть горят в аду, делать то ведь больше нечего, как заменять собой DHCP сервер. Подключаете ЛВС и ЕСПД в LFN-порты маршрутизатора, оставляете на нём только dhcp-сервер, настраиваете его чтобы раздавал подсеть ЕСПД - профит, никаких табличек и прочего онанизма. В случае если было установлено оборудование по проекту ЦОС, то там и так dhcp-сервер есть с сетью /23 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 3, 2023 (edited) · Report post 21 час назад, OffPlankton сказал: В чем проблема авторизоваться придя на работу? Или это из серии "Назло бабушке отморожу уши"? В том, что у нас на одно рабочее место по 3-4 хари, которые могут каждые 40 минут меняться. Авторизацию один пройдет и забудет ее сбросить и потом другой юзер под авторизацией не своей пользуется. РТ не могут осилить какое нибудь api, через которое можно будет скриптами отслеживать, был ли пользователь авторизован и с каким ip. Потом этими же скриптами, в случае выхода из домена или его блокировки, по запросу в api конкретую авторизацию можно было снести. А вообще, правильная идея была бы, чтобы можно было через api еще и авторизовать конкретного пользователя, теми же скриптами, войдя пользователю в домен, можно было скриптиком через api повесить сессию к ip и не было **ли с открытием браузера и входом на страничку авторизации. Не вопрос настрочить скрипты, которые будут нужные вызовы делать с необходимыми параметрами, API на стороне РТ никто не реализует. Это еще не последний цирк. У нас в городе будут капремонты школ, в следствии которых, много школ отправят к нам, включая учителей, которых мы не сможем в госуслугах привязать к нашей организации, естественно, вход через ЕСИА встает раком. Edited August 3, 2023 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 3, 2023 (edited) · Report post В 30.07.2023 в 11:54, jffulcrum сказал: Думаю, в каждом компе будет торчать свисток какой-нибудь Йоты и безопасность резко возрастет, прямо очень. Проверено госами и военными неоднократно. Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств. 23 часа назад, OffPlankton сказал: Подключаете ЛВС и ЕСПД в LFN-порты маршрутизатора, оставляете на нём только dhcp-сервер, настраиваете его чтобы раздавал подсеть ЕСПД - профит, никаких табличек и прочего онанизма. В случае если было установлено оборудование по проекту ЦОС, то там и так dhcp-сервер есть с сетью /23 1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК? 2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями? 3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться". Edited August 3, 2023 by Nickuz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted August 3, 2023 · Report post Который год читаю тему и каждый раз удивляют, а реализаторы от РТ хоть понимают что они пытаются реализовать? какой то велосипед на костылях с привязанными коньками, прописки... разрешения... сертификаты.. прокси.. Оставили бы в покое внутреннюю сеть школы и не трогали, настроили свой сервер pptp на границе и раздали бы учителям учётки персональные, если уж такого контроля хочется, с любого устройства поднималась бы туннелька для интернета, а там уже крути-верти на сервере что хочешь и как хочешь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 3, 2023 · Report post 6 минут назад, Nickuz сказал: Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств. 1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК? 2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями? 3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted August 3, 2023 · Report post 9 минут назад, Nickuz сказал: Люто плюсую. Особенно в отсутствии внятных политик безопасности и контроля устройств. 1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК? 2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями? порты LAN.. в настройках роутера есть настройки DHCP, там задаются границы пула, адресация подсети и адреса шлюза с ДНСами, настроить роутер на адрес к примеру 192.168.0.250 к примеру и в настройках DHCP уже указать адрес пула 192.168.0.10-192.168.0.200, адрес шлюза - еспдшный шлюз и днсы каки вам можно, или адрес того же шлюза Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 3, 2023 · Report post 9 минут назад, sheft сказал: порты LAN.. в настройках роутера есть настройки DHCP, там задаются границы пула, адресация подсети и адреса шлюза с ДНСами, настроить роутер на адрес к примеру 192.168.0.250 к примеру и в настройках DHCP уже указать адрес пула 192.168.0.10-192.168.0.200, адрес шлюза - еспдшный шлюз и днсы каки вам можно, или адрес того же шлюза Еще раз обновлю ТЗ: в рамках ЕСПД выдана одна подсеть, по факту их нужно больше 5. Резать ЕСПДшную сеть - хостов не хватает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 3, 2023 (edited) · Report post 7 часов назад, Nickuz сказал: Еще раз обновлю ТЗ: в рамках ЕСПД выдана одна подсеть, по факту их нужно больше 5. Резать ЕСПДшную сеть - хостов не хватает. Так они же по заявке могут и 5 подсетей выдать. У Вас в сети 1279 устройств или около того? Edited August 3, 2023 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted August 3, 2023 · Report post есть подозрение, это чтобы компьютеры разных подсетей не пересекались, но vlanы по какой то причине не подходят, возможно коммутаторы неуправляемые Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 4, 2023 · Report post Да, это VLANы. Да, это разные типы устройств и соответственно, зоны безопасности. Ок, выдадут мне подсети, а терминировать их будет всё тот же криптошлюз, к которому у меня нет доступа? И как я буду управлять ядром своей L3 сети? NAT, логи, L3-L7 fw эта коробулька потянет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 4, 2023 (edited) · Report post 2 часа назад, Nickuz сказал: Да, это VLANы. Да, это разные типы устройств и соответственно, зоны безопасности. Ок, выдадут мне подсети, а терминировать их будет всё тот же криптошлюз, к которому у меня нет доступа? И как я буду управлять ядром своей L3 сети? NAT, логи, L3-L7 fw эта коробулька потянет? Я же Вам говорю, заведите прозрачный нат. Хоть на бубунте с fw и суч*ами. И будете полетом внутреннего трафика управлять, параллельно отправляя часть трафика на беспроводной wifi мост соседнего дома. От них все равно вменяемой схемы не добьешься. Те, кто тз составлял, думали, что во всех школах все в неуправляемые коммутаторы втыкалось, которые потом приходили в какой нибудь 2640u или hg8245. К сожалению, таких школ подавляющее большинство было. У некоторых еще и интернет был только с контент фильтрацией, который при замене терминалов, сами ребята с РТ запустить не могли. Edited August 4, 2023 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 5, 2023 · Report post 22 часа назад, NarkoHeal сказал: Я же Вам говорю, заведите прозрачный нат. Хоть на бубунте с fw и суч*ами. И будете полетом внутреннего трафика управлять, параллельно отправляя часть трафика на беспроводной wifi мост соседнего дома. От них все равно вменяемой схемы не добьешься. Те, кто тз составлял, думали, что во всех школах все в неуправляемые коммутаторы втыкалось, которые потом приходили в какой нибудь 2640u или hg8245. К сожалению, таких школ подавляющее большинство было. У некоторых еще и интернет был только с контент фильтрацией, который при замене терминалов, сами ребята с РТ запустить не могли. А огребать за эту самодеятельность потом будет директор школы? Нет уж, спасибо. РТ 6 лярдов получил - пусть теперь у них голова болит, как. Их задача - не уронив наши сервисы, предоставить свои, а не наша задача - прогнуться под РТ так, чтобы они продолжали получать бабло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted August 5, 2023 · Report post 4 часа назад, Nickuz сказал: Их задача - не уронив наши сервисы, предоставить свои В договоре написано именно так? Мне почему-то думается, что в договоре про ваши сервисы ни слова не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted August 7, 2023 · Report post В 05.08.2023 в 14:17, alibek сказал: В договоре написано именно так? Мне почему-то думается, что в договоре про ваши сервисы ни слова не будет. Прекрасный подход. Не подскажете, зачем нужна ЕСПД, которой даже воспользоваться никто не сможет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 7, 2023 · Report post 6 часов назад, Nickuz сказал: Прекрасный подход. Не подскажете, зачем нужна ЕСПД, которой даже воспользоваться никто не сможет? Обкатывают чебурнет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OffPlankton Posted August 9, 2023 · Report post В 03.08.2023 в 12:39, Nickuz сказал: 1. Из еспд выдана только одна /24 сеть, по факту таких сетей нужно 5. Криптошлюз будет мне их роутить между собой так как нужно ОУ, а не РТК? Про выдачу нескольких сетей /24 пока не встречал случаев, обычно в случае запроса выдается одна сеть нужного размера. В данным случае если нужно как минимум на пять /24 то выдадут одну /21. По отдельным подсетям можете попробовать запросить на ГЛ, чтобы был официальный ответ. Роутить их будет либо КШ, либо esr-10, если установлено оборудование по проекту ЦОС. В 03.08.2023 в 12:39, Nickuz сказал: 2. Что такое LFN-порты маршрутизатора и куда в этой схеме включать свой роутер со своими сетями? Очепятка, имелись в виду LAN-порты вашего маршрутизатора. Если проще - ваша ЛВС подключается к ЕСПД без маршрутизатора напрямую, а маршрутизатор включается только одним LAN-портом в ЛВС, дабы раздавать адреса ЕСПД по DHCP. В 03.08.2023 в 12:39, Nickuz сказал: 3. Включать голой задницей свою ЛВС в криптошлюз РТК - себе дороже. На этапе развёртывания ЕСПД все шары всех школ по всей стране торчали наружу, вместе с 1С и зарплатными ведомостями. То, что ситуация не повторится - не гарантирует никто. А РТК в случае чего, как всегда, разведёт руками и скажет "сами дураки, надо было предохраняться". Не знаю что было на этапе развертывания, но сейчас сети школ изолированы друг от друга, доступ между ними возможен только по отдельному запросу в случае наличия нескольких корпусов одной школы с отдельными подключениями к ЕСПД. Или если филиалы в разных населенных пунктах. Точно так же "шары всех школ по всей стране" не могли и не могут торчать "наружу" (если имеется в виду интернет), поскольку работают через NAT. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OffPlankton Posted August 9, 2023 · Report post В 05.08.2023 в 07:25, Nickuz сказал: А огребать за эту самодеятельность потом будет директор школы? Нет уж, спасибо. РТ 6 лярдов получил - пусть теперь у них голова болит, как. Их задача - не уронив наши сервисы, предоставить свои, а не наша задача - прогнуться под РТ так, чтобы они продолжали получать бабло. Тут нужно помнить, что "ваши" сервисы и "ваши" сети на самом деле не ваши - это всё принадлежит и подчиняется Минпросвещения, которому понадобился ЕСПД для централизованного предоставления каналов связи ОУ. Разработкой ТЗ и составлением договоров занималась и занимается Минцифра. Но у пользователей как всегда виноват исполнитель - РТК. Ну, продолжайте в это верить, наверняка так легче ¯\_(ツ)_/¯ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 10, 2023 · Report post 23 часа назад, OffPlankton сказал: Тут нужно помнить, что "ваши" сервисы и "ваши" сети на самом деле не ваши - это всё принадлежит и подчиняется Минпросвещения, которому понадобился ЕСПД для централизованного предоставления каналов связи ОУ. Разработкой ТЗ и составлением договоров занималась и занимается Минцифра. Но у пользователей как всегда виноват исполнитель - РТК. Ну, продолжайте в это верить, наверняка так легче ¯\_(ツ)_/¯ Я вот сильно сомневаюсь, что минцифры без участия ртк занимался разработкой этого проекта. Ну нет там людей, хоть сколько нибудь понимающих маршрутизацию. Максимум, коммутатор могут в розетку включить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OffPlankton Posted August 10, 2023 · Report post 3 минуты назад, NarkoHeal сказал: Я вот сильно сомневаюсь, что минцифры без участия ртк занимался разработкой этого проекта. Ну нет там людей, хоть сколько нибудь понимающих маршрутизацию. Максимум, коммутатор могут в розетку включить. У них есть свои специалисты в каждом регионе. В Новосибирской области даже приходилось с ними контактировать, вполне адекватные сетевые инженеры. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TimSmith Posted August 24, 2023 · Report post Если у школы появляется второй корпус, то РТ объединяет их в одну сетку? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FreePlayer Posted August 24, 2023 · Report post Здравствуйте, наконец-то я нашел хоть какое-то обсуждение этого "чудо интернета". Прошу помощи/совета. Подключили нам в прошлом году первый корпус, в этом году подключат и второй. Изначально сеть в обеих корпусах построена на тупых коммутаторах, из умного только микротики на конце объединенные VPN'ом чтобы ходить из корпуса в корпус. Собственно первоначально было решеное подключить только кабинеты информатики, для этого протянули отдельную ветку и вроде бы все работает. Но все компьютеры в домене, им нужно иметь связь с изначальной ЛС где стоят контроллеры домена. Через тот же самый микротик был сделан проброс из РТ сети в нашу основную сеть и все заработало. Но почти каждый запрос в поисковики требует от юзера ввести капчу и это еще пол беды, иногда капча просто не прогружается. Тех. поддержка не помогла, сославшись на то что из сети идет подозрительный трафик. Я пробовал оставить подключенным только один кабинет информатики где установлены только только приобретенные ноутбуки со свежей Windows, все равно поисковики ругаются на "подозрительный трафик". Немного сумбурно получилось, возможно что-то забыл. Знаний в сетях у меня не так много, а посему страдаем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
OffPlankton Posted August 24, 2023 · Report post 3 часа назад, TimSmith сказал: Если у школы появляется второй корпус, то РТ объединяет их в одну сетку? Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TimSmith Posted August 24, 2023 (edited) · Report post 7 часов назад, FreePlayer сказал: Но почти каждый запрос в поисковики требует от юзера ввести капчу и это еще пол беды, иногда капча просто не прогружается. Ничего не сделать, такое и с полутора пользователями было. На Яндексе вроде как капча всегда прогружается, можно хотя бы на него перевести. 5 часов назад, OffPlankton сказал: Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так Спасибо! Edited August 24, 2023 by TimSmith Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted August 26, 2023 · Report post В 24.08.2023 в 15:39, OffPlankton сказал: Если он рядом в первым, то школа своими силами объединяет две сетки и подключение к еспд идет через первый корпус. Если корпус "где-то там", то его должны отдельно подключить к ЕСПД, и тогда можно открыть доступ между этими сетями через ЕСПД. Примерно так Что в понимании "если он рядом" ? У нас корпус второй должны начать строить, приблизительная удаленность, метров 200 и интересует эта же ситуация. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Zwerdik Posted August 30, 2023 · Report post Коллеги, кто сталкивался с проблемой отсутствия кнопки авторизация на этом экране? https://espd.wifi.rt.ru/images/doc-esia-01.png Возникает случайно как на андроидах (в открытом окне каптивы), так и на шиндоусах, линуксах. Возникает просто рандомно. Раньше это лечилось заходя вручную на https://edu.wifi.rt.ru/ или тупо прописью айпишника любого в адресную строку. Сейчас не лечится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...