petr-lyutyaev Posted February 3 · Report post В 26.01.2024 в 23:40, NarkoHeal сказал: Раньше были открытые порты. Сейчас без авторизации в еспд, открыты некоторые порты только на разрешенные ip., типа dns rt, страница авторизации, электронный журнал. Так что, настрочить бумажку придется. Какой впн лучше, холиваров полно. Тут, что Вам нравится. Кто не хочет заморачиваться, есть очень простой сервис ngrok, создающий туннель и дающий доступ к определенном портам. Отлично работает в ЕСПД, только нужен нефильтрованный интернет, приходится каждый день авторизовываться через Госуслуги. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted February 6 (edited) · Report post В 03.02.2024 в 17:16, petr-lyutyaev сказал: Кто не хочет заморачиваться, есть очень простой сервис ngrok, создающий туннель и дающий доступ к определенном портам. Отлично работает в ЕСПД, только нужен нефильтрованный интернет, приходится каждый день авторизовываться через Госуслуги. Не фильтрованный интернет можно получать через прокси, отправляя запрос connect. Без регистрации, смс и просмотра рекламы. Edited February 6 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AnTiBiT Posted March 8 (edited) · Report post Есть opnsense, 1WAN и ЕСПД. Не могу понять как тут перенаправить трафик, чтобы он шел именно через ЕСПД, а не через wan. Если в правилах фаерволла указать any, то будет перенаправляться весь трафик, а мне такого не надо т.к. в локалке еще есть сервисы. В PFSense можно было выбрать путь назначения "Network" и тогда весь трафик инета спокойно перенаправлялся в ЕСПД, а локалка никак не затрагивалась. Проблема в том, что в opnsense такого пункта как "Network" попросту не существует. Есть идея с алиасом, но что туда записывать я без понятия. Может кто-то тут сталкивался с этим или подскажет как не затрагивая локалку перенаправить трафик инета? Заранее спасибо)) Уже всё перерыл, документалку по опнсенсу читал, думал может есть какая-то переменная - все бес толку :c upd. Короче говоря, порылся я в настройках алиаса и сделал полнейшую дичь как по мне 😄 Был создан алиас, назвал его "Network"; Тип алиаса: GeoIP IPv4; Выбрал все регионы; Добавил ссылку в GeoIP Settings и применил настройки; В правиле фаерволла как назначение выбрал мною созданный алиас "Network" и применил данное правило. Итог: Правило срабатывает, сразу закидывает на страницу авторизации ЕСПД и локалка при этом никак не затрагивается! Для полного счастья осталось настроить виртуальные IP и назначить их кому надо) Edited March 8 by AnTiBiT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted March 9 (edited) · Report post Есть те, кто решал проблему авторизации в еспд, когда за каждым рабочим местом в день может работать по 15 человек? На данный момент, у нас с этого полугодия заставили вновь педагогов бегать по кабинетам к детям, естественно перед уроком проходить авторизацию, а в конце урока авторизацию сбрасывать каждому - так себе удовольствие. Мы насчитали, более 700 авторизаций в рабочий день у нас должно было быть. На данный момент, обходим проблему таким способом: т.к. у нас прозрачный нат, при авторизации педагога на рабочей станции в домене, дергаем логон скрипт, который по http дергает api шлюза, передавая ему ip станции, sid пользователя. Далее, уже на самом шлюзе из iptables удаляется предыдущее правило --to-source, которое имеет нужный ip и применяется новое правило, которое нужный ip станции (за нат) гонит через --to-source ip пользователя. Естественно, каждый SID через базу прописан свой IP. Получается, что мы IP еспд привязываем к доменному пользователю и через скрипты гоняем их. Естественно, это не отменяет первой авторизации в еспд каждого пользователя в рабочий день. Пока появляется проблема, что станции, на которых нужно залогиниться под одинаковым (например, какие нибудь конкурсы или студенты приходящие) то на всех, кроме последнего, интернета не будет. А так же, при логоне, маршруты могут несколько минут перестраиваться. Может, у кого то было более надежное решение? Edited March 9 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AnTiBiT Posted March 10 · Report post @NarkoHeal 1 вариант: прописать всем статический ip и выполнять logoff скрипт, который будет дергать ссылку деавторизации и только после завершения скрипта завершать сеанс. 2 вариант: сделать как должно быть по факту - прописать всем прокси т.к. по факту во всех учебных кабинетах должен быть СКФ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted March 11 · Report post 9 часов назад, AnTiBiT сказал: @NarkoHeal 1 вариант: прописать всем статический ip и выполнять logoff скрипт, который будет дергать ссылку деавторизации и только после завершения скрипта завершать сеанс. 2 вариант: сделать как должно быть по факту - прописать всем прокси т.к. по факту во всех учебных кабинетах должен быть СКФ. 1. Дергать ссылку деавторизации - это хорошо. Меня потом заклюют, каждые 40 минут авторизацию делать. Еще не понятно, как к этому госуслуги отнесутся, делая вход через есиа каждому человеку по 15 раз в день. 2. В документации еспд рт указано, Цитата Отключение контентной фильтрации с рабочих мест административного и педагогического персонала т.е. педагогам разрешен интернет без контент фильтрации. Да и УО требовало, чтобы у педагогов работал интернет. А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает. Еще варианты? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lea-nsk Posted March 16 · Report post В 11.03.2024 в 13:24, NarkoHeal сказал: т.е. педагогам разрешен интернет без контент фильтрации. Да и УО требовало, чтобы у педагогов работал интернет. А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает. Еще варианты? Педагогам разрешён доступ без контент-фильтрации при условии полного отсутствия учащихся. Поэтому во всех учебных кабинетах должен быть канал интернет, имеющий СКФ. Для примера: https://school154.ru/download/153/информатизация-защита-персональных/43889/положение-о-скф.pdf?ysclid=lttsz8hnow851793366 В 11.03.2024 в 13:24, NarkoHeal сказал: А то у них на "разговоры о важном" гимн в ютюбе под фильтр влетает. Кто мешает педагогам использовать локальную, заранее скачанную версию? Таким образом, педагоги подставляют своего руководителя. Не дай бог к вам придёт прокурорская проверка, а на рабочем месте педагога будет работать канал интернета без СКФ... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pub_ii Posted March 19 (edited) · Report post Все эти регламенты создают люди с искаженным знанием реальности или создают иллюзию борьбы с угрозами. Все дети имеют телефоны с прямым доступом в интернет. Мало какие родители могут это ограничить: запретить интернет, запретить установку приложений, создать родительский контроль. ЕСПД создает видимость защиты учеников от нежелательного контента из предположения, что они имеют доступ в Интернет только в школах. Но в жизни все наоборот. В школах им интернет не особо нужен. Им дома и с телефонов, компьютеров достаточно, тем более что приходится смотреть задания от учителей, свои оценки в электронных журналах, все они сидят в разных соцсетях, играют в сетевые игры. Кто и как дома их ограничивает от нежелательного контента? Да в большинстве случаев никто. Так зачем городить такой огород в школах? Вся эта лабуда придумана для отмытия денег. Криптошлюзы, обслуживание оборудования, создание и поддержка сервисов требуют по стране громадных денег. Кто-то на этом покупает виллы на Лазурном берегу. Ну и отмазка - это не мы виноваты, у нас все хорошо, это все родители. В результате такой имитации борьбы даже девочки устраивают побоища с оружием в школах. Авторизация для работы через ЕСИА Госуслуг создает условия для утечки персональных данных. Edited March 19 by pub_ii Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted March 22 · Report post В 16.03.2024 в 13:12, lea-nsk сказал: Для примера: https://school154.ru/download/153/информатизация-защита-персональных/43889/положение-о-скф.pdf?ysclid=lttsz8hnow851793366 Выхлопа от этих документов 0. Пока вы не сядете за спиной у пользователя, не поймёте, что изображено на картинке по адресу https://someserver.somedomain/oermrime4wov.jpg. А есть ещё динамический контент... Всё остальное - бумажкомарательство для прикрытия пятой точки директора. В 16.03.2024 в 13:12, lea-nsk сказал: Кто мешает педагогам использовать локальную, заранее скачанную версию? да не умеют они уже этого. Потому что все забыли, как скачивать, у них, как у собачек Павлова, рефлекс: материал для урока - ютюп - поиск. Ушли уже те педагоги, которые начинали изучение компьютеров с теории. Теперь только голая практика, и, если, не дай бог, алгоритм, освоенный дома, не срабатывает - всё, виноваты все кругом, не дают уроки вести. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jesterx777 Posted June 23 · Report post Вопрос немного не по теме: У кого в школе стоит видеорегистратор Dahua DHI-NVR2104-P-4KS2 который ставили вместе с ЕСПД? Нужна его прошивка Ростелекомовская. Пытались обновить на оригинальную, думали поможет с отвалом камер когда смотришь по сети, теперь с камер изображения нет. Либо подскажите как можно снять дамп прошивки с регистратора? Во втором здании стоит точно такойже рег. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TimSmith Posted June 29 · Report post У кого-нибудь вертится ЕСПД на SNR? Есть примеры типового конфига для входного коммутатора? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AnTiBiT Posted July 3 · Report post В 29.06.2024 в 20:11, TimSmith сказал: У кого-нибудь вертится ЕСПД на SNR? Есть примеры типового конфига для входного коммутатора? Если вы про тот, к которому подключается КШ - то никто вам конфиг не предоставит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
don1 Posted August 2 (edited) · Report post --- Edited August 2 by don1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NarkoHeal Posted September 4 (edited) · Report post Доброго времени суток всем! Кто то пытался через техподдержку разрешить обмен трафиком/в одну сеть/воткнуть в один vlan (не знаю, как в еспд происходит разграничение сетей) между несколькими ОУ? Суть. Через 2 месяца встаем на кап. ремонт. Педагоги (с педагогами, возможно хрен с ними), замы разбегаются по 4ем школам. А у нас NAS, AD DC (+dns), почтовый веб клиент и прочая лабуда. Маршруты настроить не проблема и в каждой школе для этого иметь внутренний шлюз, проблема как сделать запрос на открытие обменом трафика исключительно между основной ОУ и 4я принимающими. На данный момент с другой ОУ удалось провести тест обмена, icmp пакеты и tcp на 80 порту точно работают. Пока непонятно, работает ли udp, но надеюсь, что работает. Edited September 4 by NarkoHeal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TimSmith Posted Thursday at 11:36 PM · Report post В 04.09.2024 в 14:28, NarkoHeal сказал: Кто то пытался через техподдержку разрешить обмен трафиком/в одну сеть/воткнуть в один vlan (не знаю, как в еспд происходит разграничение сетей) между несколькими ОУ? Что-нибудь получилось? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...