Cereal Keeler, Я этой проблемой недавно только начал заниматься, не знаю как часто меняются IP. Но там фишка еще в том, что есть куча суб-доменов, по типу emias.mosreg.ru, webview.mosreg.ru и т.п. У всех них могут быть разные IP. То есть невозможно сказать работает ли кнопка или ссылка на портале ЕМИАСа, пока врач не попробует ее нажать. Работает - хорошо, не работает - меняем DNS, пингуем нужный адрес, узнаем IP, вписываем в hosts, меняем DNS обратно на корпоративный... В общем, неудобно от слова "совсем". Особенно учитывая тот факт, что делать это все приходится во время приема пациентов.

bredych, Это все не вариант. Я же не нахожусь на работе 24\7, а вот врачи работают и с самого раннего утра, и поздно вечером, и в выходные. Поэтому пока только 1 комп я тестирую таким образом, т.е. руками вбиваю в hosts нужные адреса нужных сайтов. Тех.поддержка VipNet'а отослала к владельцу защищенной сети. ОК, написал в тех.поддержку Минздрава, т.к. формально это их сеть. Они предложили то же, что выше: либо юзать их DNS, либо настроить какую-то хрень на корпоративных DNS (дословно уже не помню). Короче, отослал их ответ нашим сис.админам, посмотрим что скажут.

P.S. Но таки да, админы могут и лесом послать, т.к. им это работать не мешает, а то что приходится выбирать между сайтами ЕМИАСа и корпоративными ресурсами - это проблемы тех, кому эти ресурсы нужны.

тут еще глупая идея пришла..
а если таблицы маршрутизации?
Типа, если надо на такой-то ип диапазон - идти на некий другой гейт (неважно, комп или рутер), где стоит днс этого емиаса или как там его.
А если всё остальное - то на обычный гейт с обычным днс
а?

а что никто не прокомментировал вариант с прописью ДНС в свойствах VPN-адаптера? Не сработает?

bredych, Это было бы клёво, но я понятия не имею как такое делается. :) Про route add я в курсе, конечно, но там же нельзя диапазоны адресов задавать, не говоря уж о том, что мы не знаем какой IP будет у очередной ссылки вида *.mosreg.ru

dmitryst, Там нет VPN-соединения в обычном смысле этого слова. VipNet Client - это именно что клиент, по типу почтового клиента, т.е. в сетевых подключениях Винды нет VPN-соединения, как это обычно бывает. Плюс там реально есть встроенный почтовый клиент, чтобы защищенные узлы могли обмениваться сообщениям по защищенным каналам связи... Короче, что-то вроде Outlook'а, только который для связи с сервером поднимает собственное VPN-соединение. И все это еще фильтруется дополнительно встроенным файрволлом или типа того. Выглядит примерно так (картинка с инета): https://oldtbd.yanao.ru/upload/medialibrary/892/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA_%D1%84%D0%B8%D0%BB%D1%8C%D1%82%D1%80%D1%8B.jpg

в сетевых подключениях Винды нет VPN-соединения, как это обычно бывает »
ясно-понятно. Значит, это не наш путь.
настроить какую-то хрень на корпоративных DNS »
Upstream provider DNS Forwarding, скорее всего.

Avatar-Lion, а что говорит поддержка? Ваш случай явно не уникальный, неужели ничем не могут помочь?

Upstream provider DNS Forwarding, скорее всего. »
А это реально? Ведь DNS-сервер конторы вообще в другом городе и он явно не будет иметь доступа в защищенную сеть Минздрава, ведь соединение поднимается на отдельных конкретных ПК.

Cereal Keeler, Поддержка VipNet'а отослала к "координатору защищенной сети", то бишь к Минздраву. Минздрав предложил сделать чего-то там на наших DNS-серверах (возможно, тот самый Upstream provider DNS Forwarding, о котором выше dmitryst написал), я это все переправил админам, они сказали что это невозможно сделать. Ну и собственно, на этом всё закончилось. Типа, проблемы негров шерифа не волнуют, ковыряйтесь дальше сами.

В общем-то, я так понимаю, единственный вариант - это продолжить собирать IP-адреса различных субдоменов и пихать их в hosts. Кстати, а есть какой-нибудь способ узнать какие вообще адреса хранятся на DNS-сервере и выгрузить их в текстовом виде? В конце концов, это же внутренняя сеть Минздрава с доступом к конкретным ресурсам, вряд ли там 100500 доменов и IP-адресов.

Ведь DNS-сервер конторы вообще в другом городе »
Да хоть у гугла или где оно там... Мы настраиваем перенаправление на внешний ДНС сервер доменов, которые мы разрешить не можем. Тут-то и можно прописать сервреа минздрава или кто у вас там ;)
какие вообще адреса хранятся на DNS-сервере и выгрузить их в текстовом виде »
насколько мне известно, никак. Нужно просто поиметь файлы конфигов, всех зон, которые обслуживает данный ДНС.

Типа, проблемы негров шерифа не волнуют, ковыряйтесь дальше сами. »
А зачем тогда шериф нужен? Ну, то есть админы, которым явно лень? По мне так пора писать жалобу про отказ выполнять служебные обязанности со стороны админов. Я хз канеш как у вас там всё устроено и как иерархия выстроена, но у меня б админ, отказавшийся даже рассмотреть кейс, вылетел бы в один день по статье и долго никуда б не устроился.

Мы настраиваем перенаправление на внешний ДНС сервер доменов, которые мы разрешить не можем »
А это где настраивается-то? На локальном ПК?

Тут-то и можно прописать сервера минздрава или кто у вас там »
ЕМИАС. Единая медицинская информационно-аналитическая система. Для простых граждан это сайт emias.info, а для врачей... Ну, с "обратной стороны" все чуть менее радужно, как видите. :)

Нужно просто поиметь файлы конфигов, всех зон, которые обслуживает данный ДНС »
Хм... Т.е. мне отправить в Минздрав запрос вида "можете выслать файл конфига вашего DNS?". Или как это лучше сформулировать?

А зачем тогда шериф нужен? Ну, то есть админы, которым явно лень? »
Им не то чтобы лень... Я оформил заявку. Описал проблему. Потом в доп.письме описал ее еще раз, более подробно. Указал что я делал и какого результата хотелось бы достичь. В общем-то, могу всю переписку сюда завтра-послезавтра из почты скинуть, ничего секретного там нет, но я так понимаю, их молчание означает, что они сами не знают как такую проблему решить, тем более что я явно не первый эникейщик, который их просит о подобном. Клиника уже три года как открыта, если за три года не решили эту проблему, то едва ли сейчас что-то поменялось.

их молчание означает, что они сами не знают как такую проблему решить »
Нет ничего страшного, когда не знаешь чего-то, для этого есть эскалация проблемы - привлечение тех, кто знает. Ну стандартная процедура же...

Cereal Keeler, Так не на кого эскалировать. :) Есть эникейщики на местах и есть сис.админы. Если не знаешь как решить что-то, то пишешь им. Если они тоже ничего не могут поделать... Ну значит все, проблема решения не имеет.

В общем-то, это на самом деле не редкость. Я с ходу еще пару-тройку проблем могу вспомнить, которые тоже никто решить не смог и не сможет никогда. Ну просто вот потому, что оно всё кривое, вернее, не кривое, а просто вот так сделано. Кто вот виноват в том, что Win 10 только один DNS-сервер может выбрать для работы, а не два? Никто. Так вот решил коллективный разум разработчиков Майкрософта и я даже понимаю логику такого решения. Ведь действительно логичнее всего работать с тем сервером, который ответил быстрее всего. А такие вот ситуации как у меня - они единичны и никто их исправлять не будет, это частности, учитывать которые банально невыгодно.

Я даже догадываюсь чем все закончится: предложу в итоге начальству либо ставить в каждый кабинет по второму компу, либо освобождать врачей, работающих с ЕМИАСом, от ответственности за невозможность сделать что-то внутри корпоративной сети.

А это где настраивается-то? »
на вашем корпоративном сервере вашими корпоративными админами ;)
Т.е. мне отправить в Минздрав запрос »
не, это чисто теоретически.
И кстати, а как в других фирмах-то? Вы же не одни-единственные с такой проблемой ;)

И кстати, а как в других фирмах-то? Вы же не одни-единственные с такой проблемой »
подобные вещи нередко индивидуально решаются..
У нас когда-то был один отдельный комп, которому в АД было выдано разрешение коннектиться к конкретно одному серву в германии, и у него сетевые настройки были таковы, что ко внутренней сети он доступа не имел..
Для отдельных задач вообще был договор с левым провом, который давал отдельную линию инета, чтоб опять же, не было никакой физической связи с внутренней сетью.
Это просто что вспомнилось навскидку. Всё сильно зависит от законных актов, что разрешено, а что нет.. Бывает какая-то запятая в нормативном доке (сверху или самой конторы) запрещает самое очевидное решение и далее долбись как хочешь.

я к тому, что необязательно решение соседей будет применимо