Подружить локалку и ЕСПД Ростелекома
Добрый день!
Прошу прощения, если где-то ошибки, на сетевика не учился, увы... Преамбула: Скрытый текст
Несколько лет назад к нам в двери постучался Ростелеком и сообщил, что привёз нам по нашей же оптике "ЕСПД" (единая сеть передачи данных). Отобрали медиаконвертер, воткнули свитч eltex, настроили его, временно оставили старую услугу (отдельный порт свитча) и проверили ЕСПД. Суть ЕСПД заключалась в том, что школам в городской местности привозят за счет региональных Министерств интернет 100 мбит. Вроде звучит неплохо, обновление оборудования, 100 мбит, но Ростелеком не был бы Ростелекомом, если бы не несколько НО: 1) удаленки туда нет никакой, даже между школами (это вроде можно решить через совместные письма в техподдержку, не проверял) 2) работает это всё через прокси с подменой сертификата 3) каждый понедельник прокси очень туго начинает работать 4) Изначально предлагалось воткнуть кабель ЕСПД в наш свитч, прописать на каждом компьютере их ip адрес из предоставленного диапазона, но тогда наши локальные ресурсы идут лесом. Из плюсов: честные 100 мбит, фильтрация запрещенки через прокси - шик! Немного поразбиравшись, я поднял клон основного шлюза (192.168.1.1/23), но с реквизитами ЕСПД (у него локальный ip 192.168.0.1/23), на DHCP настроил с помощью бывшего коллеги (веб-админку он писал сам) отдачу нужным группам (Замы, Учителя, Ученики) нужных шлюзов по умолчанию, в автозагрузку каждому компу кинул батник, который проверяет доступность шлюза ЕСПД - если он доступен, то прописывает настройки прокси в реестр. Если недоступен - удаляет их (если остались с прошлого раза). Скрипт нужен для того, чтобы можно было быстро переключаться между обычным интернетом по шлюзу 192.168.1.1 и ЕСПД 192.168.0.1. Все было нормально, скрипт отрабатывал, переключение работало, пока в конце ноября не пришла указивка: компьютеры учителей и замов необходимо отключить от прокси и пускать уже через авторизацию по ЕСИА (грубо говоря учетка Госуслуг). Пустит он в интернет только те учетки, которые привязаны как учетки сотрудника организации (в ЕСИА есть учетка юрлица, к которой привязаны учетки педагогов). Получается, что каптив-портал ЕСИА после авторизации принимает сессию для конкретного ip адреса, а т.к. все компьютеры за натом - то это сессия для ip адреса шлюза ЕСПД. По сути кто первый авторизовался - тот пустил всех напрямую, без прокси. На данный момент различия в фильтрации я обошел тем, что 1) никому не отключал прокси, все пользуются интернетом с фильтрацией 2) поднял ещё клоны шлюза, раздав им собственные ip (в итоге шлюзов ЕСПД у меня 3: учителя, ученики, замы). Получается, что если вдруг прокси будет отключен, то учителя, введя логин и пароль ЕСИА дадут доступ такому же компьютеру с отключенным прокси только для своего шлюза и ученики не попадут в интернет без фильтрации, а входить под учеткой стороннего человека на компьютере бессмысленно - не пустит вообще (не проверялось, со слов техподдержки). В планах еще постройка WiFi сети, но я так полагаю это будет сделано абсолютно отдельным сегментом, и доступа к нашей локалке не будет Предполагаю, что авторизация в ЕСИА обязательна по причине того, что в электронный дневник тоже пускает по ЕСИА, вероятно будет одна авторизация во все услуги сразу (но не факт) Сама суть вопроса: Не отказываясь от наших внутренних сервисов (домен, турникеты, сетевые папки, сетевые принтеры, Kaspersky Security Center, местные точки доступа, управляемые коммутаторы, видеорегистратор, несколько ip камер) получить каждому компьютеру ip из подсети ЕСПД? Как научить DHCP сервер раздавать 2 ip адреса одному компу и возможно ли это вообще? Как объединить нашу налаженную инфраструктуру и этот гребаный ЕСПД в одну сеть, чтобы и то и то работало? Я вижу только одно решение - 2 ip адреса на одном адаптере, но прописывать руками получается очень долго. Да и такое грубое объединение сети меня напрягает хотя бы тем, что извне для сотрудников РТ будут доступны все наши компы с открытыми портами, могут сканером ещё пройтись от нечего делать, сейчас хоть iptables на шлюзе может всё отбивать... ЗЫ при необходимости могу набросать схему сети в части серверной |
Цитата:
|
Цитата:
у Меня в некоторых школах пока работает сервер, который и светит задом в сегмент ЕСПД, что потребуется делать дальше - пока с вопросами не обращались. |
а двойная аутентификация - по ид устройства и ид юзера - не то, что вам надо?
устройства подключаются по своим сертификатам, а если подключается юзер, то для доступа в сеть юзается уже его сертификат. по идее, это должно решать вопрос.. |
Цитата:
Вероятно я криво описал конфиг сети... Есть основной шлюз, на нём и крутится DHCP, наклонировал его, обрубил на клонах DHCP, поменял настройки сетёвки, nginx для админки и iptables. Шлюзы ЕСПД находятся в той же сети, что и основной, всем компьютерам в сети фактически доступны все 4 шлюза, но надо руками писать - на что у учителей прав не хватает, посему используется полученное DHCP добро, а оно зависит от присвоенной компьютеру группы. Цитата:
Возможно разнится ситуация от региона к региону, но сомневаюсь... у меня 66 Часто при сбоях на нашем прокси техподдержка рекомендовала прописать проксю соседних регионов - 45, 74, 59. Говорят замеряйте скорость, какой 100мбит отдаст - тот и используйте. По мнению сапорта админ должен по всем клиентам пробежать и ручками браузер поправить, учитывая, что скрипт у меня самописный? Или каждый час скрипт распространять по клиентам, подменяя адреса? Вопрос риторический)) Цитата:
|
Цитата:
Цитата:
|
Цитата:
Лично проверял доступ без прокси на 2х устройствах, авторизовавшись только на одном из них. Есть шанс, что пока просто криво -косо работает... Но куки тут не столь уж и нужны получается... Иначе как бы он пустил соседний комп в инет? |
Цитата:
|
Цитата:
|
Цитата:
|
NickM,
Цитата:
zz1666, Цитата:
Цитата:
Цитата:
Цитата:
У нас просто тоже приближается эта фильтрация. Только вот согласно FAQ совершенно непонятно можно ли остаться на старой схеме (IP адреса без КФ) или обязательно юзать авторизацию теперь для отключения КФ. Однако хотелось бы понять с фильтрацией: 0. Возможно ли как-то автоматизировать прохождение авторизации на фоне? 1. Если есть необходимость параллельной работы в двух разных браузерах - хрен тебе? 2. Если есть необходимость отправить ПО в инет - авторизация решит эту проблему или хрен тебе? 3. А если система без браузера вообще - каким образом там проходить авторизацию? |
Цитата:
Не знаю как многие другие, но Я достаточно давно "полюбил" WPAD в локальной сети, который вполне поддаётся гибкой настройке. Да, стоит сказать, что тесно/ ежедневно с "ЕСПД" не общаюсь, но все ранее внедрённые проекты в рабочем состоянии, что-то около 5 шт. |
NickM,
Цитата:
|
Цитата:
WPAD позволяет автоматически доставлять настройки прокси. В тех организациях, которые поддерживаю, имеется локальный домен и все АРМ разделены - учительские отдельно, ученические отдельно. Настраиваются сетевые сервисы и всё работает так, как того требует поставленная задача. Попробую ответить на Ваши вопросы: Цитата:
Цитата:
Цитата:
Цитата:
|
NickM,
Цитата:
Цитата:
|
|
Для объединения ваших внутренних сервисов и подключения к сети ЕСПД, вам необходимо провести настройку сети таким образом, чтобы каждый компьютер получал два IP-адреса – один из вашей внутренней сети, а второй из подсети ЕСПД. Можно еще купить прокси и поставить на виртуальные машины и добиться вообще кучу адресов, но надо ли это в данной ситуации, врятли. Вопрос о том, возможно ли это, зависит от того, как настроен DHCP-сервер в вашей сети. https://advanced.name/ru
|
Цитата:
Проблема может появиться в том случае, когда организация захочет одновременно пользоваться и авторизацией через ЕСИА и фильтрацией через прокси. И вот тут встанет вопрос, а каким образом это реализовывать? Один из вариантов - это отделять АРМ учителей от ученических, определять их по какому-нибудь признаку, например, по MAC-адресу сетевой , тогда, в таком случае можно настроить DHCP на два пула с разными сетевыми настройками для клиентов. Здесь следует пояснить, что: - для отключения фильтрации, для возможности получения авторизации в ЕСИА, клиент ничего не должен знать о наличии прокси ЕСПД (т.е. трафик этого клиента должен напрямую уходить на шлюз), но должен "уметь" резолвить специально назначенные DNS в сети ЕСПД; - для обеспечения фильтрации, весь трафик должен уходить на прокси ЕСПД. Наверняка существуют способы "правильной" организации сети, но что-то ни один провайдером/ Ростелекомом, при внедрении в образовательные организации, не предлагается, увы. |
Цитата:
|
Цитата:
|
Цитата:
Отключаешь прокси и авторизация через ЕСИА - всё летает. Включаешь обратно прокси - всё снова ломается, при этом файлы скачиваются моментально. Сферум туда же (но сейчас его пускают в обход прокси, напрямую, так что видимо проблема "решена" и как всегда немного костыльно))), Яндекс.Телемост и ещё энное количество платформ, которые учителя пробовали. Но чаще всего жалобы - ничего открыть невозможно. Часто при поиске в гугле блокирует по причине запрещенных слов))) |
Время: 12:34. |
Время: 12:34.
© OSzone.net 2001-