[fedukonelove]

В 16.03.2022 в 19:32, kaeskat сказал:

Ну да, щаз. А я должен бегать и перенастраивать половину систем вместо одного шлюза.

Тут проблема вылезла - выяснилось что открытый доступ без фильтрации у нашего РТК это всё равно через прокси. Т.е. по заявке просто отключают фильтрацию на конкретный IP, а ходить надо все равно через прокси.

На сквиде можно сделать чтобы запросы на parent уходили с разных ip? Или придется решать все-таки прописыванием прокси в явном виде на клиентских ПК и последующим NAT с нужным IP на шлюзе?

Типо того, что перенастраивать всё. Этим нас и заставляют заниматься в Ростелекоме :D

А в некоторых школах такие локалки, что прямым лесом нафиг посылают. И я со школами абсолютно согласен.

[YuryD]

В 16.03.2022 в 17:36, fedukonelove сказал:

Типо того, что перенастраивать всё. Этим нас и заставляют заниматься в Ростелекоме :D

А в некоторых школах такие локалки, что прямым лесом нафиг посылают. И я со школами абсолютно согласен.

 Это вам в минобр :) Ну нету в школе муниципальной должности сисадмина, есть завхоз и учител информатики, но им за это не платят...

 

 Был типично депудатский плюх в виде коровьей лепешки, сверху слегка перекрестились типа пронесло, а оно набирая скорость плюхнуло. Кто выбирал мизулину и хинштейна - покайтесь :)

[Udavf]

On 3/16/2022 at 3:32 PM, kaeskat said:

Тут проблема вылезла - выяснилось что открытый доступ без фильтрации у нашего РТК это всё равно через прокси. Т.е. по заявке просто отключают фильтрацию на конкретный IP, а ходить надо все равно через прокси.

На сквиде можно сделать чтобы запросы на parent уходили с разных ip? Или придется решать все-таки прописыванием прокси в явном виде на клиентских ПК и последующим NAT с нужным IP на шлюзе?

Об этом полтемы пишется уже

Да, tcp_outgoing_address в конфиге

On 3/16/2022 at 3:57 PM, YuryD said:

Был типично депудатский плюх в виде коровьей лепешки, сверху слегка перекрестились типа пронесло, а оно набирая скорость плюхнуло.

Ну есть закрытый сегмент, в котором нету нибуя

Там и будут госуслуги и инструкции как правильно Zиговать у деда на могиле в честь оккупации.

 

Изменено 16 марта, 2022 пользователем Udavf

[YuryD]

В 16.03.2022 в 18:14, Udavf сказал:

Там и будут госуслуги и инструкции как правильно

 

Не будет :) Не сумеют, см реестр бесплатных.

 

[lea-nsk]

В 16.03.2022 в 17:42, fedukonelove сказал:

в методичке РТК сказано наоборот. Никакого NATа, все АРМ школы должны быть в подсети открытого/закрытого сегмента

Вот что получается.

 

Схема подключения №1

ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор  ------> АРМ1 - АРМ2, АРМx 

 

Есть отрытый сегмент без настроек прокси (интернет без фильтрации). Работает по принципу Hotspot. В данном случае интернет работает только через соответствующую активную пользовательскую сессию ЕСИА (Госуслуги).    

Например, пользователь работающий на АРМ1 - прошёл процедуру авторизации через ЕСИА (Госуслуги), его пользовательская сессия в ЕСИА считается открытой с предоставление доступа к сети интернет.

Пользователь работающий на АРМ2 - не прошёл аналогичную процедуру авторизации. В таком случае АРМ2 - не имеет доступа к сети интернет.

 

Получается, что АРМ1,АРМ2 и т.д. находящиеся в одной подсети подключенных по схеме №1 - работают с уникальной пользовательской аутентификацией.  

 

Схема подключения №2

ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------> маршрутизатор (настроен свой DHCP-сервер)  ------> АРМ1 - АРМ2, АРМx 

 

В данном случае происходит следующее.

Пользователь работающий на АРМ1 - прошёл процедуру авторизации через ЕСИА (Госуслуги), его пользовательская сессия в ЕСИА считается открытой с предоставление доступа к сети интернет. В это время пользователи работающие на АРМ2,АРМ3 и т.д. получат доступ к сети интернет благодаря авторизации пользователя на АРМ1 

 

В данной схеме ESR-10 определяет промежуточный маршрутизатор как одно устройство на которое выделяется одна пользовательская сессия в ЕСИА. И это не правильно. Когда автоматизируется в ЕСИА один пользователь и под его аккаунтом доступ к интернету получают все АРМ учреждения находящиеся в одном сетевом сегменте.  

 

Кстати, пользовательская сессия в ЕСИА открыта в течении 12 часов, затем автоматически закрывается.

Ручное закрытие сессии (например, выход из личного кабинета "госуслуг" после авторизации через ЕСИА для получения доступа к интернету) почему-то не предусмотрено.

В самом РТК не знают ответа на данный вопрос.

 

В связи с чем возникла задача по реализации DHCP-relay на промежуточном маршрутизаторе, чтобы пробросить физические АРМ через промежуточный маршрутизатор на DHCP-сервер LAN сегмента ESR-10. Тогда данная проблема должна исчезнуть. 

Сейчас на это времени нет... на следующей неделе буду плотно заниматься решением этой задачи...

 

Что касаемо совмещения открытого и закрытого сегмента - это решается на уровне фильтрации и перенаправления сетевого трафика статическому конечному клиенту АРМ - данная задача легко решается при помощи ROS (MikroTik).

Единственное, в закрытом сегменте (надеюсь) временно не доступен DNS-сервер обслуживающий зону первого уровня ".espd".  Прошлось на ROS прописывать вручную в DNS статику известных мне доменных имён...

 

Что касаемо отрытого сегмента с контент-фильтрацией работающего через прокси и сертификат - для MS Windows сейчас это у меня настраиваться автоматически через созданные соответствующие правила в GPO под управлением AD .

 

Для прозрачного прокси придётся реализовывать DHCP-relay для ESR-10 , иначе мониторинг ЕСПД будет получать данные только об одном физическом устройстве... Над этим тоже ещё предстоит мне работать.

 

 

 

[YuryD]

 Еще раз, поясните назачем это нужно было ? Отчего вдрюг открытый и закрытый сегменты? И как запретить попадание в открытый сегмент школярам и их родителям через опсосы, глушилок наставить ? Или каждой школе по бске ? Главный вопрос - кому выгодно ?

[kaeskat]

On 3/16/2022 at 8:31 PM, lea-nsk said:

Вот что получается.

 

Схема подключения №1

ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор  ------> АРМ1 - АРМ2, АРМx

Это в ряде мест такое извращение есть, да. Читал я в служебных инструкциях РТК принципы организации. Хотя там вроде бы можно и через прокси, в т.ч. без контент фильтрации и по мне так будет проще, чем вся эта шляпа с госуслугами. Честно говоря вообще не понял зачем это замутили.

 

On 3/16/2022 at 8:14 PM, Udavf said:

Да, tcp_outgoing_address в конфиге

Получается squid'у всё равно при этом, на parent отправляет или сам запрашивает? Просто будет пользоваться для заданной ACL соответствующим IP?

[YuryD]

сквид в этой настройке просто отправляет пакет с tcp_outgoing_address, не  более, ответ придет на этот адрес. Далее - изучать конфиги сквида на предметы приваси и прочее. И да, настроек для парент прокси вам рт не даст. Пробоату это, либо у нас нет сквида, либо наш прокси не умеет, или не знаем чоэто.

[kaeskat]

On 3/16/2022 at 8:48 PM, YuryD said:

Еще раз, поясните назачем это нужно было ? Отчего вдрюг открытый и закрытый сегменты? И как запретить попадание в открытый сегмент школярам и их родителям через опсосы, глушилок наставить ? Или каждой школе по бске ? Главный вопрос - кому выгодно ?

Открытый это имеется ввиду кастрированный инет от РТК для использования в школе. Может быть фильтрованный, может нет, через прокси. Для особо упорных открывают порты и IP назначения для избранных машин в школе.

При этом нужно понимать, что цели именно запретить кому-то что-то - не стояло. Чем там пользуются дети помимо колхоза от РТК никого тоже не волнует.

А закрытый предполагает служебную сеть с некоторыми особыми ресурсами. Сейчас это уже работает в больницах. Судя по методичке они предполагают что в школе физически провода закрытого и открытого сегмента будут воткнуты в разные коммутаторы и разные ПК. Это уже сейчас не работает в больницах - народу надо работать, поэтому в компы втыкают 2 сетевухи.

On 3/16/2022 at 8:58 PM, YuryD said:

И да, настроек для парент прокси вам рт не даст.

Что значит не даст, они его по умолчанию дают. Вопрос только как с одного нашего сквида рассовать одни компы с фильтрацией, другие нет.

[YuryD]

Обалдеть :) Т.е. со сквидом вы дела не имели, и распихать по ip-сетям в тем кому можно и не можно тоже. И по больницам увы - у вас понятия нету...

[kaeskat]

On 3/16/2022 at 9:58 PM, YuryD said:

Обалдеть :) Т.е. со сквидом вы дела не имели, и распихать по ip-сетям в тем кому можно и не можно тоже. И по больницам увы - у вас понятия нету...

Меня вполне устраивал обычный шлюз с небольшим количеством открытых портов через NAT и разделением по подсетям без лишнего гемора на сквиде. Сквид стоял практически со стандартными настройками и принудительным transparent proxy для подсети кабинетов информатики, чтобы ссылать школоту на поиск от скайднс вместо обычных поисковиков. Мне никуда не упирались хитро*ые сквидовские извращения для особых ситуаций. Всё это прекрасно работало пока РТК не приперся.

Что до больниц, то у них все сделано так же через пятую точку, но там хотя бы федерация стабильно последние лет 7 подгоняла технику, в т.ч. сервера и сетевое оборудование, ибо они пилят электронные медицинские системы. В школах с поступлением техники голяк, местный бюджет тухлый полностью.

Изменено 16 марта, 2022 пользователем kaeskat

[Nickuz]

В 16.03.2022 в 15:42, fedukonelove сказал:

Самый прикол, что в методичке РТК сказано наоборот. Никакого NATа, все АРМ школы должны быть в подсети открытого/закрытого сегмента.

Ахааа. Щаз, бегу и падаю. С учётом того, что сеть - полносвязная, любой ПК из условного Мухосранска на дырявой ХРхе будет срать трафиком по всем доступным адресам и рассылать заразу? Делаем ставки, как быстро вирусня засрёт сеть трафиком настолько, что ей станет нереально пользоваться.

[lea-nsk]

В 17.03.2022 в 16:24, Nickuz сказал:

С учётом того, что сеть - полносвязная, любой ПК из условного Мухосранска на дырявой ХРхе будет срать трафиком по всем доступным адресам и рассылать заразу? Делаем ставки, как быстро вирусня засрёт сеть трафиком

настолько, что ей станет нереально пользоваться.

Если такое произойдёт на официальную электронную почту вашей организации придёт электронное письмо следующего содержания:

Добрый день.
В настоящее время на сетевом оборудовании центра обработки данных Правительства ххх фиксируются вредоносная активность от компьютера, расположенного в вашей школе.
 
Установлен IP адрес зараженного ПК - 10.хх.хх.хх
 
Описание вредоносной активности: Обращение к вредоносному ресурсу Botnet dst.ip 37.ххх.ххх.ххх
 
Прошу довести данную информацию до технических специалистов, осуществляющих у вас техподдержку компьютерной техники, изолировать зараженный ПК и провести полную проверку. После устранения вредоносного программного обеспечения, направить собранную информацию о нем (скриншоты и др.) в обратном письме.
 
Для выполнения проверок рекомендуем использовать следующие антивирусные утилиты:
 
1. Dr.Web CureIt!
2. Kaspersky Virus Removal Tool
3. Malwarebytes

хххххххххх
Эксперт I категории отдела защиты ЦОД
ГБУ ххх <ЦЗИ ххх>
8 (ххх) хххххх

 

Это многое объясняет, когда в ОО отсутствует квалифицированный специалист. Например, случай:

 

В 16.03.2022 в 19:57, YuryD сказал:

Ну нету в школе муниципальной должности сисадмина, есть завхоз и учител информатики, но им за это не платят...

 

 

Поэтому нам рекомендуют такую схему подключения ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------>сетевой концентратор  ------> АРМ1 - АРМ2, АРМx

В данном случае вам укажут конкретный IP адрес подключенной к ЕСПД АРМ с вредоносной сетевой активностью. Так должно быть в идеале.

 

В реальности, это выглядит так.

 

Есть определённый пул IP адресов для LAN ОО раздаваемый DHCP-сервером относящегося к сетевой инфраструктуре ЕСПД РТК.

IP адреса распределяются в хаотичном порядке в зависимости от последовательности включения АРМ в ОО подключенных к данной сети.

Местный администратор сети будет не в курсе про автоматическое назначение сетевых реквизитов сторонним DHCP-сервером распространяемых на все АРМ подключенных к ЕСПД РТК.

С небольшим парком АРМ он ещё сможет справиться. А если число АРМ будет 300+ ?

Тогда придётся пользоваться дополнительным софтом (например, Advanced IP Scanner) сканирующего и определяющего активное оборудование по IP в ЛВС ОО. 

При этом каждая АРМ должна иметь свой понятно-читаемый идентификатор имени АРМ указанного в параметре "имя компьютера"...

 

В данной случае не совсем понятно как реагировать на внештатную ситуацию с Wi-Fi EPSD от РТК ?  Wi-Fi EPSD - имеет открытый доступ с единым глобальным паролем, поэтому доступ к Wi-Fi EPSD будет доступен практически в каждой ОО где он установлен. Это означает, что можно свободно придти в другую ОО со своим гаджетом поддерживающим WI-Fi и подключиться там к сети ЕСПД с использованием прокси, обойдя обязательную авторизацию через ЕСИА (Госуслуги)...

 

Ещё, автор проекта ЕСПД (РТК) зачем-то объединил подсеть Wi-Fi EPSD с физической подсетью предназначенную для проводного физического соединения с действующей или новообразованной LAN ОО.

 

Конфиг настроек точек доступа я не видел. С точки зрения безопасности, я бы не стал напрямую без файрвола подключать LAN ОО к ЕСПД в котором присутствует Wi-Fi EPSD.

 

* * *

 

В связи с чем, вопросов возникает больше.... компетентных ответов на них нет. Зачем-то минцифра мои вопросы перенаправляет в техподдержку РТК, которая ничего не знает(

 

 

В случае схемы подключения ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------> промежуточный маршрутизатор (настроен свой файрвол и DHCP-сервер)  ------> АРМ1 - АРМ2, АРМx 

 

Отдел защиты ЦОД в случай чего вам укажет только IP-адрес вашего промежуточного маршрутизатора.

 

Данная схема на мой взгляд будет надёжнее в плане защиты и контроля всех АРМ находящиеся в вашей LAN ОО. РТК - это только исполнитель контракта, их не волнует работа и безопасность вашей IT-инфраструктуры не относящаяся к ЕСПД.

[Nickuz]

В 18.03.2022 в 10:19, lea-nsk сказал:

сли такое произойдёт на официальную электронную почту вашей организации придёт электронное письмо следующего содержания:

Благими намерениями... Я так понимаю, что контролируется только исходящий трафик в дикий интернет? Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно.

[Nickuz]

В 18.03.2022 в 10:19, lea-nsk сказал:

А если число АРМ будет 300+

а зачем 300+ держать в одной подсети? плодить броадкаст? Явно такой сети светит сегментирование. Правда, на этот счёт проектом никаких дополнительных IP диапазонов не предусмотрено.

[kaeskat]

On 3/18/2022 at 12:19 PM, lea-nsk said:

В случае схемы подключения ЕСПД РТ (открытый сегмент)  через ESR-10 (установлен по проекту, включен DHCP-сервер)------> промежуточный маршрутизатор (настроен свой файрвол и DHCP-сервер)  ------> АРМ1 - АРМ2, АРМx 

У нас установлена тупая коробка которая не умеет ничего. Это просто такой вариант абонентского окончания. РТК даже свой линк до школы не осилил.

 

On 3/18/2022 at 12:19 PM, lea-nsk said:

Wi-Fi EPSD - имеет открытый доступ с единым глобальным паролем,

ЛОЛШТО? Т.е. добро пожаловать в сеть любая школота?

 

On 3/18/2022 at 12:42 PM, Nickuz said:

Благими намерениями... Я так понимаю, что контролируется только исходящий трафик в дикий интернет? Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно.

Периодически в такой сети можно ложить всю сеть провайдера минимум до уровня района. А при некоторой удаче и города.

[lea-nsk]

В 18.03.2022 в 12:42, Nickuz сказал:

Я так понимаю, что контролируется только исходящий трафик в дикий интернет?

Скорее всего анализируют весь сетевой трафик (src и dst).

Иначе, может получиться не совсем хорошая ситуация, когда клиент на своей стороне будет использовать 2 канала связи с поднятой балансировкой межсетевого трафика распределённого между 2 или более провайдерами.

Теоретически можно перенаправить исходящий сетевой трафик на стороннего провайдера, а принимать входящий трафик через ЕСПД (РТК).  

 

В 18.03.2022 в 12:42, Nickuz сказал:

Т.е. можно сканить подсеть 10,0,0,0/8 и ничего за это не будет? Шикарно.

Со стороны ЕСПД такая возможность есть. На стороне клиента ограничено файрволом в исключении закрытого сегмента ЕСПД. В закрытом сегменте ЕСПД всё наоборот - клиент видит и может просканировать все ресурсные подсети на предмет доступа.

Не совсем понятно как настроен файрвол в закрытом сегменте ЕСПД ?

 

Во многих учреждениях где нет возможности использования оборудования, поддерживающего L2\L3. РТК берёт за типовую основу схему с применением 2 сетевых карт, устанавливаемых на АРМ где необходим закрытый сегмент. 

 

Обратите на это внимание!

 

Наглядная схема  АПКШ ----> сетевой концентратор (если подключение составляет более 1 АРМ) ---> второй сетевой интерфейс АРМ (1-Х)

Это не безопасное техническое решение.  Судя как всё это технически и документально организовано, нет никакой гарантии, что файрвол в закрытом сегменте настроен должным образом для обеспечения безопасности конечного клиента.

 

Чтобы обезопасить на всякий случай свою локальную сетевую IT-инфраструктуру рекомендую использовать вот такую бюджетную схему:

АПКШ ----> межсетевой экран (файрвол)---> сетевой концентратор (если подключение составляет более 1 АРМ) ---> второй сетевой интерфейс АРМ (1-Х)

     

[lea-nsk]

В 18.03.2022 в 12:55, Nickuz сказал:

а зачем 300+ держать в одной подсети? плодить броадкаст?  Правда, на этот счёт проектом никаких дополнительных IP диапазонов не предусмотрено.

Авторы проекта ЕСПД считали, что они зайдут в пустые школы с частично или полностью отсутствующей сетевой IT-инфраструктурой и сделают там доброе дело подключив АРМ к «широкополосному скоростному интернету»…

Предполагаю, авторы проекта делали расчёт взяв за основу модель сельских школ с небольшим количеством АРМ с отсутствующей ЛВС.

По факту, исполнитель (РТК) столкнулись с неожиданной проблемой на этапе интеграции ЕСПД с ЛВС ОО. Оказалось, что значительная часть образовательных учреждений уже имеет собственную развитую локальную сетевую IT – инфраструктуру соответствующая современным техническим требованиям имеющую полностью изолированную либо частично изолированную сегментацию локальных подсетей, которую не так просто интегрировать с ЕСПД на условиях заказчика (минцифра).   

У нас в регионе первая версия СППД введённая в эксплуатацию более 6 лет тому назад -  работает на основе софтового VipNet (обслуживает индивидуальное 1 АРМ к закрытому сегменту ЕСПД) и аппаратного VipNet Coordinator HW (обслуживает ЛВС ОО открытый/закрытый сегмент).

Принцип работы схож доступ к ЕСПД осуществляется через криптошлюз с VPN-туннелем.

Когда нам установили VipNet Coordinator HW, чтобы пользоваться интернетом было необходимо устанавливать дополнительный корневой сертификат на каждое АРМ, чтобы корректно открывались сайты через SSL соединение.  Интернет на ЕСПД-1 организован на прозрачном прокси, только у него стоят ограничения по портам в файрволе, выдаётся серый IP. Наличие DHCP-сервера, благодаря которому ЦОД шлёт «письма счастья» при обнаружении вредоносной сетевой активности.   

Преимущество: ЕСПД-1 – совмещенный открытый и закрытый сетевой сегмент, прозрачный прокси, контент-фильтр.

Недостатки ЕСПД-1: серый внешний IP, необходимость индивидуальной установки дополнительного корневого сертификата проверки подлинности.

Теперь мам постепенно приходится перестраиваться на ЕСПД-2 (РТК).

Все хорошо сейчас работает, но авторизация через ЕСИА всё сейчас портит из-за пользовательской открытой сессии, которую вручную нельзя закрыть. Да и 12 часов жизни открытой пользовательской сессии через ЕСИА - это слишком на мой взгляд много…  

[lea-nsk]

В 18.03.2022 в 13:02, kaeskat сказал:

У нас установлена тупая коробка которая не умеет ничего. Это просто такой вариант абонентского окончания. РТК даже свой линк до школы не осилил.

Аналогичный вариант где-то я видел у нас в области, там ещё без применения СКЗИ всё подключено. Стоит какой-то маршрутизатор от него идёт абонентская раздача интернета с применением непрозрачного прокси.

 

В 18.03.2022 в 13:02, kaeskat сказал:

ЛОЛШТО? Т.е. добро пожаловать в сеть любая школота?

 

Предполагается, что через Wi-Fi EPSD будут подключены гаджеты и АРМ учителей, ученические учебные АРМ для работы: с цифровыми сетевыми образовательными ресурсами, электронными журналами, электронными учебниками...

 

 

[Nickuz]

В 18.03.2022 в 12:21, lea-nsk сказал:

Иначе, может получиться не совсем хорошая ситуация, когда клиент на своей стороне будет использовать 2 канала связи с поднятой балансировкой межсетевого трафика распределённого между 2 или более провайдерами.

можно вообще ничего не балансировать. Включить в ЕСПД АРМ с 4Г свистком, на арме поднять прокси/ВПН (нужное подчеркнуть) и ходить в дикие инеты с блакджеком и дамами безответственного поведения, дабы РТК ничего не смог фильтровать.

[kaeskat]

On 3/18/2022 at 5:10 PM, Nickuz said:

можно вообще ничего не балансировать. Включить в ЕСПД АРМ с 4Г свистком, на арме поднять прокси/ВПН (нужное подчеркнуть) и ходить в дикие инеты с блакджеком и дамами безответственного поведения, дабы РТК ничего не смог фильтровать.

Это не так делается. Берется ближайшая многоэтажка, за копейки ставится сетевой wifi-мост до любого пользователя и на честных 100мбит лезем куда хотим.

On 3/18/2022 at 3:29 PM, lea-nsk said:

Авторы проекта ЕСПД считали

Бабки они считали как распилить очередной раз. Весь проект под это заточен.

 

On 3/18/2022 at 3:42 PM, lea-nsk said:

Предполагается, что через Wi-Fi EPSD будут подключены гаджеты и АРМ учителей, ученические учебные АРМ для работы: с цифровыми сетевыми образовательными ресурсами, электронными журналами, электронными учебниками...

Это у меня без них работало и толку на самом деле почти нет. Подключение АРМ учителя через wifi является извращением. Ученические учебные арм в нашем исполнении это бредятина, как и цифровые образовательные ресурсы и учебники.

На практике есть некоторая польза когда у педагогов есть выданные на руки ноуты и они с ними могут сесть куда хотят, не привязываясь к стационарному месту (возможно занятому).

При этом у РТК рабочий wifi это дырка в общую сеть, тогда как у меня это был изолированный сегмент.

[YuryD]

Вопрос не по нашей теме, но почему, целых два министерства не смогли создать контент, на которые школяры как мухи на мед сами бы полезли ?

[learning]

Здравствуйте! ЕСПД дошло до нашей сельской школы. Заранее прошу прощения за глупые вопросы, так как на IT-специалиста я не обучался, но случилось так, что меня попросили помочь школе... Приехали два спеца с ростелекома что-то накрутили, навертели, поменяли( я при этом не присутствовал). Оставили один листок где от руки написаны IP адреса фильтрованные и нефильтрованные. Подключили один wi-fi адаптер( продемонстрировали, что в дальнейшем необходимо делать с каждым маршрутизатором) и уехали.... 
Сегодня пришел в школу и начал разбираться. В школе порядка 7 маршрутизаторов и от них по 4 кабеля идет к ПК в класс. Три-четыре ПК успел сегодня перенастроить, вроде работает...В основном все делалось методом "тыка". Накопилось ряд вопросов:
1) Если все 28 ПК одновременно начнут активно пользоваться интернетом, не упадет ли интернет во всей школе?
2) Вайбер, я так понимаю, работать на ПК больше не будет (  у нас связь с родителями только через этот мессенджер)? Проверил телеграм, работает.
3) Смогу ли я поменять на маршрутизаторе IP на нефильтрованный? Не влетит ли школе за это?
4) Как объяснить коллегам, что скорость интернета резко упала из-за перехода на ЕСПД?
5) Какими словами объяснить для чего необходим был переход на ЕСПД?
Заранее, спасибо!

Изменено 18 марта, 2022 пользователем learning

[kaeskat]

On 3/19/2022 at 3:03 AM, learning said:

Накопилось ряд вопросов:

Ситуация примерно такая:

Если схема подключения РТК самая простая, без госуслуг и прочей фигни, то у вас есть набор IP адресов, которые работают только через прокси c КФ, и есть набор IP, где доступно более-менее всё.

Вы можете на внешнем интерфейсе любого маршрутизатора прописать адрес из нужного набора и тогда всё, что сидит за маршрутизатором, пойдет либо через фильтрацию, либо без нее.

Для того, чтобы за маршрутизатором на IP с фильтрацией интернет вообще был, нужно на каждом ПК будет прописать прокси. Если без фильтрации, прокси прописывать не надо.

Смотрите картинку во вложении, будет примерно так, с поправкой на ваши адреса, количество роутеров и ПК.

Соответственно в кабинетах информатики однозначно должны быть ПК с фильтром (прокси), остальные могут быть без.

От Вас зависит правильный разбор сетевых шнурков и подключение к нужному маршрутизатору.

Далее по вопросам:

1. Нет не упадет, раньше ж не падал. Рекомендую проверить скорость доступа на спидтесте с нефильтрованных компов.

2. На фильтрованных ПК вообще толком ничего не будет работать, кроме браузера и разрешенных сайтов. Хотя у меня zoom как-то запускался и даже работал.

Будет ли работать то что нужно на нефильтрованных компах зависит от левой пятки РТК. Нужно проверять. Большинство простых вещей работает, возможно и Вайбер

3. Смотрите мою схему и пытайтесь для своего случая ее адаптировать. Что и как вы раздаете у себя в школе, РТК не волнует, главное соблюдение требований по ограничению доступа у детей.

4-5: Объясняете элементарно - стихийное бедствие в виде госконтракта, при котором ничего от вас не зависит. Пусть привыкают.

 

[kaeskat]

On 3/18/2022 at 9:00 PM, YuryD said:

Вопрос не по нашей теме, но почему, целых два министерства не смогли создать контент, на которые школяры как мухи на мед сами бы полезли ?

Потому что не выходит у данилы-мастера каменный цветок. Чтобы был понятен масштаб бедствия - у нас даже содержание обычных учебников и учебную программу формирует не государство/министерство, а издательства, которые данные учебники выпускают. Министерство всего лишь проплачено одобряет или не занесли отклоняет и тогда мы имеем всякий шлак для обучения и выброшенные на помойку нормальные учебники.

Нормой является выбросить учебную программу в середине цикла, то есть до 2 класса были одни учебники, а с 3 принципиально другие. Периодически целые блоки выпадают, потому что по старой программе их в этом году еще не проходили, а по новой в следующем считается что уже прошли.

Появление цифрового контента ситуацию не изменило, а наоборот, ухудшило, потому что мухи из министерства залипают на слово "цифровой" и качество с содержанием их потом вообще не интересует.