Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Подружить локалку и ЕСПД Ростелекома (http://forum.oszone.net/showthread.php?t=352526)

zz1666 06-12-2022 10:25 2998124
Подружить локалку и ЕСПД Ростелекома
 
Добрый день!
Прошу прощения, если где-то ошибки, на сетевика не учился, увы...
Преамбула:
Скрытый текст

Несколько лет назад к нам в двери постучался Ростелеком и сообщил, что привёз нам по нашей же оптике "ЕСПД" (единая сеть передачи данных). Отобрали медиаконвертер, воткнули свитч eltex, настроили его, временно оставили старую услугу (отдельный порт свитча) и проверили ЕСПД.
Суть ЕСПД заключалась в том, что школам в городской местности привозят за счет региональных Министерств интернет 100 мбит. Вроде звучит неплохо, обновление оборудования, 100 мбит, но Ростелеком не был бы Ростелекомом, если бы не несколько НО:
1) удаленки туда нет никакой, даже между школами (это вроде можно решить через совместные письма в техподдержку, не проверял)
2) работает это всё через прокси с подменой сертификата
3) каждый понедельник прокси очень туго начинает работать
4) Изначально предлагалось воткнуть кабель ЕСПД в наш свитч, прописать на каждом компьютере их ip адрес из предоставленного диапазона, но тогда наши локальные ресурсы идут лесом.

Из плюсов: честные 100 мбит, фильтрация запрещенки через прокси - шик!

Немного поразбиравшись, я поднял клон основного шлюза (192.168.1.1/23), но с реквизитами ЕСПД (у него локальный ip 192.168.0.1/23), на DHCP настроил с помощью бывшего коллеги (веб-админку он писал сам) отдачу нужным группам (Замы, Учителя, Ученики) нужных шлюзов по умолчанию, в автозагрузку каждому компу кинул батник, который проверяет доступность шлюза ЕСПД - если он доступен, то прописывает настройки прокси в реестр. Если недоступен - удаляет их (если остались с прошлого раза). Скрипт нужен для того, чтобы можно было быстро переключаться между обычным интернетом по шлюзу 192.168.1.1 и ЕСПД 192.168.0.1.

Все было нормально, скрипт отрабатывал, переключение работало, пока в конце ноября не пришла указивка: компьютеры учителей и замов необходимо отключить от прокси и пускать уже через авторизацию по ЕСИА (грубо говоря учетка Госуслуг). Пустит он в интернет только те учетки, которые привязаны как учетки сотрудника организации (в ЕСИА есть учетка юрлица, к которой привязаны учетки педагогов).
Получается, что каптив-портал ЕСИА после авторизации принимает сессию для конкретного ip адреса, а т.к. все компьютеры за натом - то это сессия для ip адреса шлюза ЕСПД. По сути кто первый авторизовался - тот пустил всех напрямую, без прокси.
На данный момент различия в фильтрации я обошел тем, что
1) никому не отключал прокси, все пользуются интернетом с фильтрацией
2) поднял ещё клоны шлюза, раздав им собственные ip (в итоге шлюзов ЕСПД у меня 3: учителя, ученики, замы).
Получается, что если вдруг прокси будет отключен, то учителя, введя логин и пароль ЕСИА дадут доступ такому же компьютеру с отключенным прокси только для своего шлюза и ученики не попадут в интернет без фильтрации, а входить под учеткой стороннего человека на компьютере бессмысленно - не пустит вообще (не проверялось, со слов техподдержки).

В планах еще постройка WiFi сети, но я так полагаю это будет сделано абсолютно отдельным сегментом, и доступа к нашей локалке не будет
Предполагаю, что авторизация в ЕСИА обязательна по причине того, что в электронный дневник тоже пускает по ЕСИА, вероятно будет одна авторизация во все услуги сразу (но не факт)

Сама суть вопроса:
Не отказываясь от наших внутренних сервисов (домен, турникеты, сетевые папки, сетевые принтеры, Kaspersky Security Center, местные точки доступа, управляемые коммутаторы, видеорегистратор, несколько ip камер) получить каждому компьютеру ip из подсети ЕСПД?
Как научить DHCP сервер раздавать 2 ip адреса одному компу и возможно ли это вообще?
Как объединить нашу налаженную инфраструктуру и этот гребаный ЕСПД в одну сеть, чтобы и то и то работало? Я вижу только одно решение - 2 ip адреса на одном адаптере, но прописывать руками получается очень долго. Да и такое грубое объединение сети меня напрягает хотя бы тем, что извне для сотрудников РТ будут доступны все наши компы с открытыми портами, могут сканером ещё пройтись от нечего делать, сейчас хоть iptables на шлюзе может всё отбивать...

ЗЫ при необходимости могу набросать схему сети в части серверной

dmitryst 06-12-2022 11:19 2998133
Цитата:
Цитата zz1666
сейчас хоть iptables на шлюзе »
может, там и прописать маршрутизацию для сетей 192.168.1.0/23 и 192.168.0.0/23? (/23? почему 23? ну, вам виднее)

NickM 06-12-2022 12:22 2998138
Цитата:
Цитата zz1666
Получается, что каптив-портал ЕСИА после авторизации принимает сессию для конкретного ip адреса, а т.к. все компьютеры за натом - то это сессия для ip адреса шлюза ЕСПД. По сути кто первый авторизовался - тот пустил всех напрямую, без прокси. »
Там же для сессии используются куки браузера, а не IP.

у Меня в некоторых школах пока работает сервер, который и светит задом в сегмент ЕСПД, что потребуется делать дальше - пока с вопросами не обращались.

bredych 06-12-2022 14:50 2998148
а двойная аутентификация - по ид устройства и ид юзера - не то, что вам надо?
устройства подключаются по своим сертификатам, а если подключается юзер, то для доступа в сеть юзается уже его сертификат. по идее, это должно решать вопрос..

zz1666 06-12-2022 19:05 2998166
Цитата:
Цитата dmitryst
может, там и прописать маршрутизацию для сетей 192.168.1.0/23 и 192.168.0.0/23? (/23? почему 23? ну, вам виднее) »
Ростелеком выдал ip адреса типа 10.*.*.*, 192.168.0.0/23 - это сеть школы, т.к. изначального диапазона не хватало 192.168.0.0/24. То есть наш школьный DHCP сконфигурирован на то, чтобы отдавать не 252 адреса, а фактически 506 (255+255-широковещательный, нулевые, адрес DHCP)
Вероятно я криво описал конфиг сети...

Есть основной шлюз, на нём и крутится DHCP, наклонировал его, обрубил на клонах DHCP, поменял настройки сетёвки, nginx для админки и iptables. Шлюзы ЕСПД находятся в той же сети, что и основной, всем компьютерам в сети фактически доступны все 4 шлюза, но надо руками писать - на что у учителей прав не хватает, посему используется полученное DHCP добро, а оно зависит от присвоенной компьютеру группы.
Цитата:
Цитата NickM
Там же для сессии используются куки браузера, а не IP. »
Попробовал авторизоваться на ноутбуке, при этом системник также запрашивал авторизацию. После авторизации на ноуте, стационарный комп получил доступ в обход прокси. Так что сеанс начинается именно для ip 10.xxx.xxx.5, который принадлежит шлюзу
Возможно разнится ситуация от региона к региону, но сомневаюсь... у меня 66
Часто при сбоях на нашем прокси техподдержка рекомендовала прописать проксю соседних регионов - 45, 74, 59. Говорят замеряйте скорость, какой 100мбит отдаст - тот и используйте.
По мнению сапорта админ должен по всем клиентам пробежать и ручками браузер поправить, учитывая, что скрипт у меня самописный? Или каждый час скрипт распространять по клиентам, подменяя адреса? Вопрос риторический))
Цитата:
Цитата bredych
а двойная аутентификация - по ид устройства и ид юзера - не то, что вам надо?
устройства подключаются по своим сертификатам, а если подключается юзер, то для доступа в сеть юзается уже его сертификат. по идее, это должно решать вопрос.. »
С точки зрения "чтобы у учителей был инет" я могу оставить как есть - первый входит, остальные ходят под его сессией. Но это породит вопросы "какого фига у меня запрашивает, у Люси нет" и со стороны РТ - почему только 1-2 учителя в сутки в инет выходят. Тем более каптив-портал целиком мне недоступен, у меня только веб-морда с требованием войти в учетку ЕСИА.

NickM 06-12-2022 19:30 2998168
Цитата:
Цитата zz1666
Попробовал авторизоваться на ноутбуке, при этом системник также запрашивал авторизацию. После авторизации на ноуте, стационарный комп получил доступ в обход прокси. Так что сеанс начинается именно для ip 10.xxx.xxx.5, который принадлежит шлюзу
Возможно разнится ситуация от региона к региону, но сомневаюсь... у меня 66 »
Из инструкции:
Цитата:
3. Завершение авторизованной сессии:
В браузере, в котором Пользователь ранее проходил авторизацию и вышел в Интернет, необходимо повторно зайти на портал, например, введя в адресной строке его адрес: https://edu.wifi.rt.ru.
Важно, чтобы использовался тот же браузер без режима инкогнито: сессия запоминается с помощью cookie длительностью действия на 10 часов. На портале находится кнопка для завершения сессии:

zz1666 07-12-2022 08:06 2998196
Цитата:
Цитата NickM
Из инструкции: »
Техподдержка по телефону говорили о 8-12 часов и авторизации именно для ip адреса.
Лично проверял доступ без прокси на 2х устройствах, авторизовавшись только на одном из них. Есть шанс, что пока просто криво -косо работает... Но куки тут не столь уж и нужны получается... Иначе как бы он пустил соседний комп в инет?

zz1666 12-12-2022 18:01 2998662
Цитата:
Цитата NickM
у Меня в некоторых школах пока работает сервер »
у Вас сервер это и есть шлюз? Получается он раздаёт интернет ЕСПД для всех в локалке, при этом ЕСПД видит использование только 1 ip адреса?

NickM 13-12-2022 05:50 2998708
Цитата:
Цитата zz1666
у Вас сервер это и есть шлюз? Получается он раздаёт интернет ЕСПД для всех в локалке, при этом ЕСПД видит использование только 1 ip адреса? »
Да, так на сег.день и работает.

zz1666 14-12-2022 09:36 2998800
Цитата:
Цитата NickM
Да, так на сег.день и работает. »
у меня тоже так и работает, но со стороны РТ это типа низя так неправильно.

The_Immortal 18-02-2023 21:09 3003600
NickM,
Цитата:
Цитата NickM
Да, так на сег.день и работает. »
Уточните, пожалуйста, а через какой IP адрес происходит NAT'ирование? Через IP с КФ или через IP без КФ? Если первое, то как пользователи получают доступ без КФ? Если второе, то как ученики получают доступ с КФ?


zz1666,
Цитата:
Цитата zz1666
но со стороны РТ это типа низя так неправильно »
Неправильно - это когда работникам приходится подключать мобильные телефоны, чтобы без геморроя обращаться к необходимым ресурсам (их великое множество зазря заблоченных), программам (к примеру, из АХП есть те, кто, например, юзают DropBox - его заставить работать на IP без КФ не удалось, даже через всякие писульки). Лично я уже тоже хлебнул изрядочно с этим ЕСПД для нужд АХП, чтоб его.

Цитата:
Цитата zz1666
Как объединить нашу налаженную инфраструктуру и этот гребаный ЕСПД в одну сеть, чтобы и то и то работало? Я вижу только одно решение - 2 ip адреса на одном адаптере, но прописывать руками получается очень долго »
Хм, а как это возможно?

Цитата:
Цитата zz1666
такое грубое объединение сети меня напрягает хотя бы тем, что извне для сотрудников РТ будут доступны все наши компы с открытыми портами »
Ну РТ, кстати, вообще не говорит об объединении. Мол, берите выданный вам диапазон из 10.xxx.xxx.xxx да и юзайте его для всей инфраструктуры ОУ. Молодцы такие, ага.

Цитата:
Цитата zz1666
Лично проверял доступ без прокси на 2х устройствах, авторизовавшись только на одном из них »
И до сих пор так работает?

У нас просто тоже приближается эта фильтрация. Только вот согласно FAQ совершенно непонятно можно ли остаться на старой схеме (IP адреса без КФ) или обязательно юзать авторизацию теперь для отключения КФ.
Однако хотелось бы понять с фильтрацией:

0. Возможно ли как-то автоматизировать прохождение авторизации на фоне?
1. Если есть необходимость параллельной работы в двух разных браузерах - хрен тебе?
2. Если есть необходимость отправить ПО в инет - авторизация решит эту проблему или хрен тебе?
3. А если система без браузера вообще - каким образом там проходить авторизацию?

NickM 18-02-2023 21:47 3003602
Цитата:
Цитата The_Immortal
Уточните, пожалуйста, а через какой IP адрес происходит NAT'ирование? Через IP с КФ или через IP без КФ? Если первое, то как пользователи получают доступ без КФ? Если второе, то как ученики получают доступ с КФ? »
В зависимости от воли руководителя/ ответственного - и так и сяк;

Не знаю как многие другие, но Я достаточно давно "полюбил" WPAD в локальной сети, который вполне поддаётся гибкой настройке.

Да, стоит сказать, что тесно/ ежедневно с "ЕСПД" не общаюсь, но все ранее внедрённые проекты в рабочем состоянии, что-то около 5 шт.

The_Immortal 19-02-2023 03:32 3003613
NickM,
Цитата:
Цитата NickM
Я достаточно давно "полюбил" WPAD в локальной сети, который вполне поддаётся гибкой настройке »
Да вот только в случае с ЕСПД он бесполезен: чем именно он может помочь я не очень понимаю.

NickM 19-02-2023 10:14 3003617
Цитата:
Цитата The_Immortal
чем именно он может помочь я не очень понимаю. »
Всё зависит от задач и устройства сети организации.

WPAD позволяет автоматически доставлять настройки прокси.

В тех организациях, которые поддерживаю, имеется локальный домен и все АРМ разделены - учительские отдельно, ученические отдельно.

Настраиваются сетевые сервисы и всё работает так, как того требует поставленная задача.

Попробую ответить на Ваши вопросы:
Цитата:
Цитата The_Immortal
0. Возможно ли как-то автоматизировать прохождение авторизации на фоне? »
Думаю что, да, возможно проверка происходит по куки сессии браузера;

Цитата:
Цитата The_Immortal
1. Если есть необходимость параллельной работы в двух разных браузерах - хрен тебе? »
Если так, то всё дело в куки;

Цитата:
Цитата The_Immortal
2. Если есть необходимость отправить ПО в инет - авторизация решит эту проблему или хрен тебе? »
Многие говорят, что никаких проблем быть не должно;

Цитата:
Цитата The_Immortal
3. А если система без браузера вообще - каким образом там проходить авторизацию? »
Считаю, что следует поднимать прокси, но некоторые говорят, что достаточно мостового соединения.

The_Immortal 19-02-2023 12:49 3003621
NickM,
Цитата:
Цитата NickM
имеется локальный домен и все АРМ разделены - учительские отдельно, ученические отдельно »
Подскажите, а если нет домена, то как-то можно разделение это делать? Чтобы на группу ПК приходил прокси, а на другую - нет.

Цитата:
Цитата NickM
Считаю, что следует поднимать прокси, но некоторые говорят, что достаточно мостового соединения »
Имеется в виду мост между локальной сетью и сетью РТ?

NickM 19-02-2023 13:18 3003623
Цитата:
Цитата The_Immortal
а если нет домена»
Сделать его;

Цитата:
Цитата The_Immortal
Имеется в виду мост между локальной сетью »
Меня заверяли, что через подключённый, например, ноут с авторизацией через гос.услуги можно подключать компьютеры.
Эту теорию не проверял, поверил на слово :not-me:

defrogoskolianwes 08-02-2024 11:34 3023845
Для объединения ваших внутренних сервисов и подключения к сети ЕСПД, вам необходимо провести настройку сети таким образом, чтобы каждый компьютер получал два IP-адреса – один из вашей внутренней сети, а второй из подсети ЕСПД. Можно еще купить прокси и поставить на виртуальные машины и добиться вообще кучу адресов, но надо ли это в данной ситуации, врятли. Вопрос о том, возможно ли это, зависит от того, как настроен DHCP-сервер в вашей сети. https://advanced.name/ru

NickM 08-02-2024 18:51 3023874
Цитата:
Цитата defrogoskolianwes
необходимо провести настройку сети таким образом, чтобы каждый компьютер получал два IP-адреса »
Т.е. Вы, реализовали такой способ получения адресов? А, зачем это задвоение адресов нужно?

Проблема может появиться в том случае, когда организация захочет одновременно пользоваться и авторизацией через ЕСИА и фильтрацией через прокси.

И вот тут встанет вопрос, а каким образом это реализовывать? Один из вариантов - это отделять АРМ учителей от ученических, определять их по какому-нибудь признаку, например, по MAC-адресу сетевой , тогда, в таком случае можно настроить DHCP на два пула с разными сетевыми настройками для клиентов.

Здесь следует пояснить, что:
- для отключения фильтрации, для возможности получения авторизации в ЕСИА, клиент ничего не должен знать о наличии прокси ЕСПД (т.е. трафик этого клиента должен напрямую уходить на шлюз), но должен "уметь" резолвить специально назначенные DNS в сети ЕСПД;
- для обеспечения фильтрации, весь трафик должен уходить на прокси ЕСПД.

Наверняка существуют способы "правильной" организации сети, но что-то ни один провайдером/ Ростелекомом, при внедрении в образовательные организации, не предлагается, увы.

zz1666 09-02-2024 06:51 3023892
Цитата:
Цитата defrogoskolianwes
как настроен DHCP-сервер в вашей сети »
Его настройки можно изменить. Только вот нужно ли это - большой вопрос) Пока пользуемся прокси. Из минусов: через него не работают платформы видеосвязи. Но пока что эти задачи единичны и руками помогаю авторизоваться через ЕСИА.

NickM 09-02-2024 21:12 3023936
Цитата:
Цитата zz1666
Из минусов: через него не работают платформы видеосвязи. »
Какие? И почему не работают? Ограничение из-за фильтрации или доступность тех, или иных портов?

zz1666 14-02-2024 09:13 3024140
Цитата:
Цитата NickM
Какие? И почему не работают? Ограничение из-за фильтрации или доступность тех, или иных портов? »
Jazz сбер многие учителя полюбили за его простоту. Но при начале звонка, когда подключен хотя бы один ученик (на клиенте с прокси, вход через браузер) он пишет: низкая скорость интернет-соединения.
Отключаешь прокси и авторизация через ЕСИА - всё летает. Включаешь обратно прокси - всё снова ломается, при этом файлы скачиваются моментально.
Сферум туда же (но сейчас его пускают в обход прокси, напрямую, так что видимо проблема "решена" и как всегда немного костыльно))), Яндекс.Телемост и ещё энное количество платформ, которые учителя пробовали. Но чаще всего жалобы - ничего открыть невозможно. Часто при поиске в гугле блокирует по причине запрещенных слов)))


Время: 20:31.

Время: 20:31.
© OSzone.net 2001-