[sonik_74]

В 28.01.2022 в 16:49, sdy_moscow сказал:

@sonik_74 Эх... вы не понимаете всю глубину проблемы школ! Подключение к ЕСПД вовсе не гарантирует, что будет НОРМАЛЬНО работать интернет. А ЛЮДЯМ НАДО РАБОТАТЬ И ДЕТЕЙ УЧИТЬ! А не разбираться в "хотелках чинуш из минкомсвязи минобра"...

 

Проблема русского менталитета в 

1. в боязни высказать своё мнение начальству и настоять на своей точке зрения

2. в нежелании читать и разбираться в мелочах

 

Если у Вас уже подписаны бумаги и нет интернета, поздравляю - Вы типичный русский мужик, и нечего стонать - это Ваш удел.

 

оффтоп: на днях вышел ролик Старикова https://youtu.be/xM4Hwubuq2Y там человек просто и понятно поясняет, почему мы живём в r@вне. Вывод ролика: возьмите свою жизнь в собственные руки, перестаньте надеяться на начальство, которому виднее.

 

 

[sdy_moscow]

@sonik_74 Я не стону, и не живу в говне, более того я не имею отношение к школе. И к тому-же наоборот, помогаю школам (где мы работаем) решать их различные проблемы. Тут на днях Руслан Карманов доступно объяснял, чем китайские реформы отличаются от наших - у них сперва долго пробуют, проверяют, потом внедряют, а у нас сперва всё ломают, а потом за голову хватаются.

Вы конечно молодец, что не подписали, но вовсе не факт, что если Вам "дали право не подписывать в минобр", то и другим учителям и директорам сойдет это с рук. У нас полно руководителей класса "я начальник - ты дурак", как на местах так и на самом верху. Не исключено, что кому-то уже его долю отдали,  и тут гордый учитель информатики в отказ пошел!

 

 

 

[sonik_74]

Отличная иллюстрация в ролике: Шариков сидит и голову в плечи прячет. Главное, что он теряет если аргументированно подискутирует с "профессором"? 

Не был бы привыкшим, что об него ноги вытирают, встал бы и ответил. Есть в психологии такой термин "выученная беспомощность" - это про наше население. Только, это лечится, это не норма, это отклонение.

Изменено 28 января, 2022 пользователем sonik_74

[TurboBlaze]

ЕСПД для образовательных учреждений будет предоставляться на платной основе или бесплатной?

Требуется-ли расторжение текущих договоров по предоставлению услуги Интернет с Ростелеком?

[PumpIT]

@TurboBlaze Все эти вопросы, улетают одному и тому же оператору-

1:Навряд ли бесплатно.

2:Не требуется.

Проект

[TurboBlaze]

@bkdipnet

1. Говорят бесплатно, за счет нац. проекта оплата федеральными средствами, но не факт, что это правда.

2. Пришло такое письмо 373 доп.pdf

Изменено 30 января, 2022 пользователем TurboBlaze

[sdy_moscow]

В 30.01.2022 в 12:01, TurboBlaze сказал:

@bkdipnet

1. Говорят бесплатно, за счет нац. проекта оплата федеральными средствами, но не факт, что это правда.

2. Пришло такое письмо 373 доп.pdf

 

Интересненько, а с каких это пор минцифры рулит муниципальными бюджетами?

Эти ребятки ухи там объелись, или ютьюба пересмотрели?

 

[TurboBlaze]

Ещё в дополнение приведу выдержку из письма управления:

Цитата

В рамках исполнения письма Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации № ДК-П19-070-2465 от 21.01.2022 (Приложение № 1) управление образования и науки сообщает следующее.
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации заключен государственный контракт от 30.12.2021 № 0410/151 на оказание государственным и муниципальным образовательным организациям, реализующим образовательные программы общего образования и среднего профессионального образования (далее – образовательные организации) услуг по предоставлению с использованием единой сети передачи данных доступа к государственным, муниципальным, иным информационным системам и к информационно-телекоммуникационной сети «Интернет» (далее – сеть «Интернет»)
На основании вышеизложенного Управление просит согласовать с операторами, предоставляющими услуги доступа к сети «Интернет» по договорам, заключенным в рамках региональных (муниципальных бюджетов) дату их расторжения, в связи с дальнейшим предоставлением ПАО «Ростелеком» доступа к единой сети передачи данных ТКС «Интернет» в рамках государственного контракта № 0410/151 от 30.12.2021 и представить информацию в срок не позднее 27.01.2022 г.

 

[kaeskat]

Коллеги, а можно немного помощи из практической плоскости?

Вот нам в школу поставили эту чудо-коробку, зеленую, Континент вроде называется. Дали настройки IP и прокси-сервера RT, показали что в браузере всё работает. Собственно у нас по веб-серфингу на одном компьютере вопросов и не возникло.

Но вот дальше начнётся кружок умелые ручки и хочется заранее узнать как правильно делать, чтобы по граблям не оттоптаться.

Собственно вопросы:

1. Правильно ли я понимаю, что если http/https трафик принудительно не завернуть через проксю RT, то фиг нам, а не веб-серфинг? Ну потому что RT прозрачный прокси не осилил?

2. Дальше, получается что все прочие порты закрыты и если программа/служба не умеет использовать прокси, или не умеет определять его автоматически, то никуда она не достучится?

3. То же самое будет, если ростелекомовская прокся данный трафик не сможет обработать или он ей по какой-то причине не понравится?

4. Можно ожидать проблем в приложениях, которые всё-таки могут использовать прокси, но предпочтительней чтобы были прямые порты, в том числе автоматически поднимаемые обратные (UPnP и т.д.)? Плюс из-за накладных расходов на прохождение трафика через прокси?

5. Могут быть проблемы из-за самого факта наличия непрозрачного прокси и его вмешательства в трафик, особенно https через левый сертификат? Соответственно любое гостевое устройство, не знающее про сертификат, также получит фигу?

6. Собственно в большинстве случаев о более-менее открытой сети для гостевых устройств можно забыть из-за излишнего геморроя с настройкой?

Изменено 31 января, 2022 пользователем kaeskat

[Khutunh]

Ребята, дак кто то ни будь смог настроить раздачу этого злощастного интернета на все компы, и в том числе через вайфай роутеры? 

 

Если есть возможность, поделитесь пожалуйста конкретными действиями и настройками

Изменено 1 февраля, 2022 пользователем Khutunh

[hRUst]

Я со стороны; пинайте РТ, Минобр. Лучше письменно

[TurboBlaze]

Сам не пробовал. На главном маршрутизаторе правила для firewall:

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d !192.168.1.1 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT -–to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d !192.168.1.1 -p tcp -m multiport --dports 443,8443 -j REDIRECT -–to-port 3129

Где 192.168.1.0/24 - Ваша локальная сеть

192.168.1.1 - главный маршрутизатор

Если много точек доступа, то для них делайте исключения с !, иначе на них не зайдете, так как весь траффик пойдет через proxy.

 

Внимание! Правила требует поправки, так как нужно указать хост (я имею ввиду ip Proxy сервера) на который перенаправляем траффик по HTTP и HTTPS.

 

--to-host здесь-ip-proxy

# Для HTTP
--to-destination здесь-ip-proxy:3128

# Для HTTPS
--to-destination здесь-ip-proxy:3129

на сколько я знаю эти конструкции в правилах выше не работают (могу ошибаться). 

 

 

Я присоединяюсь к автору предыдущего сообщения, о том, что надо "пинать" РТ, Минобр, так как это безобразие, сначала пусть у себя настроят нормальный прозрачный proxy сервер.

 

Цитата

По любым вопросам, связанным с подключением СОШ к ЕСПД можно обращаться по номеру:
8 800 301 32 31 – телефон горячей по ЦЭ и ЕСПД
- единый почтовый ящик: espd_ce@rt.ru

 

Изменено 9 февраля, 2022 пользователем TurboBlaze

[naves]

On 1/31/2022 at 6:41 PM, kaeskat said:

1. Правильно ли я понимаю, что если http/https трафик принудительно не завернуть через проксю RT, то фиг нам, а не веб-серфинг? Ну потому что RT прозрачный прокси не осилил?

1) Если на том единственном компе с интернетом, чтобы был интернет нужно в браузере явно указывать адрес и порт прокси, то это непрозрачный прокси, и любые редиректы на фаерволе не дадут другим программам интернет.

а) В теории можно поставить свой собственный прокси, на который заворачивать трафик как в примерах выше. А в настройках этого-вашего прокси указать использовать вышестоящий непрозрачный.

б) Можно попробовать компьютерам в организации раздать адрес прокси через https://ru.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

НО:

2) Судя по сообщениям выше, это все работать не будет, потому что Ростелеком занимается подменой сертификатов. И нужно на все клиентские компы поставить корневой сертификат от РТ.

Но тот же Google Chrome и телефоны ходят на адреса гугла только со своим сертификатом, тк использует Certificate pinning

https://habr.com/en/post/303736/

 

Балаган какой-то. Как всегда.

[YuryD]

 По поводу того, что вообще и как попало в школьный интернет ? Если оно вообще туда попало - пусть отвечает размещальщик, или лицо его разрешившее. Если это есть - то и https с сертификатами не нужен, достоверный же букварь, равно как и допущенные учебные материалы ?

[kaeskat]

On 2/2/2022 at 8:24 PM, naves said:

 

Но тот же Google Chrome и телефоны ходят на адреса гугла только со своим сертификатом, тк использует Certificate pinning

https://habr.com/en/post/303736/

Сейчас как раз прозрачный прокси стоит с подменой сертификата и разбором https, плюс касперский чем-то подобным занимается, вроде бы хрому это не мешает. Сертификаты в доверенных корневые входят. Была мысль в прозрачном прокси указать РТшный как родительский.

Но это для тех кто в домене. А что делать с гостевыми? Получается без шансов, они дальше сообщений о подмене не пойдут?

[kaeskat]

On 2/3/2022 at 9:12 PM, YuryD said:

 По поводу того, что вообще и как попало в школьный интернет ? Если оно вообще туда попало - пусть отвечает размещальщик, или лицо его разрешившее. Если это есть - то и https с сертификатами не нужен, достоверный же букварь, равно как и допущенные учебные материалы ?

Лично у меня есть мнение, что безопасный интернет можно было бы с помощью тех самых сертификатов сделать. Можно же выдавать на домен некий сертификат, подтверждающий его статус, с полями, содержащими категории, к которым сайт относится. Ну там медицина, образование, развлечение, игры и возрастной ценз. Соответственно любой шлюз/прокси/браузер может считывать поля сертификата при обращении и в зависимости от политик разрешать/запрещать доступ.

Нет сертификата в корне сервера - относим к подозрительным. Не надо никаких безобразных баз с миллионами записей, каждый ресурс сам отвечает за свою категоризацию. При обнаружении материалов не соответствующих заявленным - отзыв сертификата.

Но это если нам ехать, а не "осваивать"...

[TurboBlaze]

Прислали вот такие "инструкции" - скачать можно здесь https://wdfiles.ru/a589b3

Для Mac OS инструкцию по установке сертификата не прислали, видно его с ЕСПД подружить нельзя.

Если у кого есть опыт установки сертификата Mac OS просьба поделиться.

[Udavf]

On 1/31/2022 at 6:41 PM, kaeskat said:

5. Могут быть проблемы из-за самого факта наличия непрозрачного прокси и его вмешательства в трафик, особенно https через левый сертификат? Соответственно любое гостевое устройство, не знающее про сертификат, также получит фигу?

6. Собственно в большинстве случаев о более-менее открытой сети для гостевых устройств можно забыть из-за излишнего геморроя с настройкой?

У нас эти членососы через прокладку ООО миранда-медиа, и используя местного провайдера как последнюю милю, имплантировали свои фекалии 31 декабря.

5. Естественно, на каждом устройстве сертификат.

6. И после этого проблемы скорее всего будут, потому что заметил что в телефоне каждая открываемая ссылка сперва идет через редиррект на check.cert.cc, потом грузится.

Мессенджеры с родительскими чатами и рассылкой домашних заданий не работают.

На школу выделяют диапазон из целого 61 адреса.

Прокладка в инструкциях по подключению обещает что можно отправить заяву с перечнем IP, которые нам нужны без фильтрации в чистом виде.

Отправили, тишина пока.

Кто-нибудь подскажите, если получим чистые адреса, как надежно разделить пользователей? я слабо разбираюсь в сетях.

В школе естественно несколько роутеров типа TL-WR740, часть людей на проводе через тупой свитч, никаких вланов.

Также выше писали, про то что бы поднять прозрачный прокси и подключить его к провайдерскому, у меня не вышло, хотя может я баран.

На вопрос о прозрачной проксификации с их стороны или принимаются ли подключения нашего прокси к ихнейевому, прокладка говорит что у меня очень специфические вкусы, и обещает все узнать и сообщить, но завтра когда нибудь потом.

[Udavf]

On 2/6/2022 at 9:05 AM, TurboBlaze said:

Прислали вот такие "инструкции" - скачать можно здесь https://wdfiles.ru/a589b3

Для Mac OS инструкцию по установке сертификата не прислали, видно его с ЕСПД подружить нельзя.

Если у кого есть опыт установки сертификата Mac OS просьба поделиться.

Вроде так

https://www.skydns.ru/guides/tls-ca-setup/#tls-3

Или еще вроде вариант сконвертировать в pem формат через openssl

Потом грузить через терминал

https://apple.stackexchange.com/questions/422332/how-do-i-update-my-root-certificates-on-an-older-version-of-mac-os-e-g-el-capi

[TurboBlaze]

Udavf, спасибо.

 

1) Еще встал интересный момент, как прописывать прокси на телефонах (Android или iOS - не важно)?

Не у всех устройств есть опции с proxy сервером.

 

2) Видео вызов по Skype не работает, пишет: Слишком слабое подключение, повторите попытку позже (лицей закрыли на дистант и тут ошибочка от РТК).

Ни кто не в курсе по какому протоколу в Skype работает трансляция видео звонков (завернуты протоколы http, https, socks 5 на прокси ЕСПД - с ними выдает ошибку - см. выше)?

 

[kaeskat]

On 2/7/2022 at 8:52 PM, TurboBlaze said:

2) Видео вызов по Skype не работает, пишет: Слишком слабое подключение, повторите попытку позже (лицей закрыли на дистант и тут ошибочка от РТК).

Ни кто не в курсе по какому протоколу в Skype работает трансляция видео звонков (завернуты протоколы http, https, socks 5 на прокси ЕСПД - с ними выдает ошибку - см. выше)?

 

со скайпом вообще все грустно, видимо т.к. ему надо порты:

• 80, 443/TCP
• 3478-3481/UDP
• 50000-60000/UDP

И еще немножечко разных TCP чтоб наверняка. На прокси-сервере рекомендуют в исключения добавить целый пул доменов, связанных со скайпом.

Предположительно он может работать только по https, за счет туннелирования соединений, но неизвестно как себя ведет РТКшный прокси и как влияют сертификаты.

[TurboBlaze]

Судя по документации MS для Skype необходимо множество портов https://docs.microsoft.com/ru-ru/skypeforbusiness/plan-your-deployment/network-requirements/ports-and-protocols и как подружить все это хозяйство с прокси РТК..., чем глубже, тем веселее.

По HTTPS работает авторизация и чат, а при видео вызове пытается подключиться, весит секунд 10 и выдаёт ошибку: Слишком слабое подключение, повторите попытку позже.

Изменено 7 февраля, 2022 пользователем TurboBlaze

[Udavf]

On 2/7/2022 at 4:52 PM, TurboBlaze said:

1) Еще встал интересный момент, как прописывать прокси на телефонах (Android или iOS - не важно)?

Не у всех устройств есть опции с proxy сервером.

 

2) Видео вызов по Skype не работает, пишет: Слишком слабое подключение, повторите попытку позже (лицей закрыли на дистант и тут ошибочка от РТК).

Ни кто не в курсе по какому протоколу в Skype работает трансляция видео звонков (завернуты протоколы http, https, socks 5 на прокси ЕСПД - с ними выдает ошибку - см. выше)?

1)Что за устройства?

У меня телефон на Android 4.4, там есть.

2)Настраивал сторожу, он сказал мне что звонил по скайпу, с видео, было нормально.

 

p.s. Прокладка типа открыла нам доступ на запрошенных IP, я думал что это означает работу через шлюз, но доступ окрыли на все той же проксе с 3128 портом, недоноски.

Заработали вк, одноклассники, ютуб. Мессенджеры, ради которых все и было нужно, мертвы.

Надо выяснять по поводу прозрачной прокси, завтра буду опять звонить.

[TurboBlaze]

1. Телефон на базе Android 11 (прошивка crDroid 7.14).

2. У меня трафик редиректится автоматически (прокси вручную не 5астраиваю ни на одном АРМ) по протоколам http, https, socks 5 (видно не хватает, что-то ещё для Skype) на Proxy РТК.

3. Я звонил в поддержку РТК, в итоге попал автоматически попал на местного, областного оператора поддержки, который ничего толком объяснить не смог. Про настройку прозрачного прокси на оборудовании РТК сказал, что у них нет доступа, как у поддержки, к настройкам ЕСПД. На вопрос куда можно обратится, что бы они у себя в РТК надстроили прозрачный Proxy, ответил в Минпросвешение. За все время, на сколько я знаю поддержку РТК, там сидят некомпентентные сотрудники, от которых нет помощи, а тупо одно издевательсто и килалово.

[Udavf]

On 2/8/2022 at 2:58 AM, TurboBlaze said:

1. Телефон на базе Android 11 (прошивка crDroid 7.14).

2. У меня трафик редиректится автоматически (прокси вручную не 5астраиваю ни на одном АРМ) по протоколам http, https, socks 5 (видно не хватает, что-то ещё для Skype) на Proxy РТК.

\

как прописывать прокси на телефонах?

Ничего не понял.

Если трафик редиректится автоматически, то зачем спрашиваешь как настраивать прокси на телефонах?

Автоматически у тебя настроено, или у провайдера?