[The_Immortal]

NickM,

Цитата NickM:

Да, так на сег.день и работает. »

Уточните, пожалуйста, а через какой IP адрес происходит NAT'ирование? Через IP с КФ или через IP без КФ? Если первое, то как пользователи получают доступ без КФ? Если второе, то как ученики получают доступ с КФ?


zz1666,

Цитата zz1666:

но со стороны РТ это типа низя так неправильно »

Неправильно - это когда работникам приходится подключать мобильные телефоны, чтобы без геморроя обращаться к необходимым ресурсам (их великое множество зазря заблоченных), программам (к примеру, из АХП есть те, кто, например, юзают DropBox - его заставить работать на IP без КФ не удалось, даже через всякие писульки). Лично я уже тоже хлебнул изрядочно с этим ЕСПД для нужд АХП, чтоб его.

Цитата zz1666:

Как объединить нашу налаженную инфраструктуру и этот гребаный ЕСПД в одну сеть, чтобы и то и то работало? Я вижу только одно решение - 2 ip адреса на одном адаптере, но прописывать руками получается очень долго »

Хм, а как это возможно?

Цитата zz1666:

такое грубое объединение сети меня напрягает хотя бы тем, что извне для сотрудников РТ будут доступны все наши компы с открытыми портами »

Ну РТ, кстати, вообще не говорит об объединении. Мол, берите выданный вам диапазон из 10.xxx.xxx.xxx да и юзайте его для всей инфраструктуры ОУ. Молодцы такие, ага.

Цитата zz1666:

Лично проверял доступ без прокси на 2х устройствах, авторизовавшись только на одном из них »

И до сих пор так работает?

У нас просто тоже приближается эта фильтрация. Только вот согласно FAQ совершенно непонятно можно ли остаться на старой схеме (IP адреса без КФ) или обязательно юзать авторизацию теперь для отключения КФ.
Однако хотелось бы понять с фильтрацией:

0. Возможно ли как-то автоматизировать прохождение авторизации на фоне?
1. Если есть необходимость параллельной работы в двух разных браузерах - хрен тебе?
2. Если есть необходимость отправить ПО в инет - авторизация решит эту проблему или хрен тебе?
3. А если система без браузера вообще - каким образом там проходить авторизацию?

[NickM]

Цитата The_Immortal:

Уточните, пожалуйста, а через какой IP адрес происходит NAT'ирование? Через IP с КФ или через IP без КФ? Если первое, то как пользователи получают доступ без КФ? Если второе, то как ученики получают доступ с КФ? »

В зависимости от воли руководителя/ ответственного - и так и сяк;

Не знаю как многие другие, но Я достаточно давно "полюбил" WPAD в локальной сети, который вполне поддаётся гибкой настройке.

Да, стоит сказать, что тесно/ ежедневно с "ЕСПД" не общаюсь, но все ранее внедрённые проекты в рабочем состоянии, что-то около 5 шт.

[The_Immortal]

NickM,

Цитата NickM:

Я достаточно давно "полюбил" WPAD в локальной сети, который вполне поддаётся гибкой настройке »

Да вот только в случае с ЕСПД он бесполезен: чем именно он может помочь я не очень понимаю.

[NickM]

Цитата The_Immortal:

чем именно он может помочь я не очень понимаю. »

Всё зависит от задач и устройства сети организации.

WPAD позволяет автоматически доставлять настройки прокси.

В тех организациях, которые поддерживаю, имеется локальный домен и все АРМ разделены - учительские отдельно, ученические отдельно.

Настраиваются сетевые сервисы и всё работает так, как того требует поставленная задача.

Попробую ответить на Ваши вопросы:

Цитата The_Immortal:

0. Возможно ли как-то автоматизировать прохождение авторизации на фоне? »

Думаю что, да, возможно проверка происходит по куки сессии браузера;

Цитата The_Immortal:

1. Если есть необходимость параллельной работы в двух разных браузерах - хрен тебе? »

Если так, то всё дело в куки;

Цитата The_Immortal:

2. Если есть необходимость отправить ПО в инет - авторизация решит эту проблему или хрен тебе? »

Многие говорят, что никаких проблем быть не должно;

Цитата The_Immortal:

3. А если система без браузера вообще - каким образом там проходить авторизацию? »

Считаю, что следует поднимать прокси, но некоторые говорят, что достаточно мостового соединения.

[The_Immortal]

NickM,

Цитата NickM:

имеется локальный домен и все АРМ разделены - учительские отдельно, ученические отдельно »

Подскажите, а если нет домена, то как-то можно разделение это делать? Чтобы на группу ПК приходил прокси, а на другую - нет.

Цитата NickM:

Считаю, что следует поднимать прокси, но некоторые говорят, что достаточно мостового соединения »

Имеется в виду мост между локальной сетью и сетью РТ?

[NickM]

Цитата The_Immortal:

а если нет домена»

Сделать его;

Цитата The_Immortal:

Имеется в виду мост между локальной сетью »

Меня заверяли, что через подключённый, например, ноут с авторизацией через гос.услуги можно подключать компьютеры.
Эту теорию не проверял, поверил на слово

[defrogoskolianwes]

Для объединения ваших внутренних сервисов и подключения к сети ЕСПД, вам необходимо провести настройку сети таким образом, чтобы каждый компьютер получал два IP-адреса – один из вашей внутренней сети, а второй из подсети ЕСПД. Можно еще купить прокси и поставить на виртуальные машины и добиться вообще кучу адресов, но надо ли это в данной ситуации, врятли. Вопрос о том, возможно ли это, зависит от того, как настроен DHCP-сервер в вашей сети. https://advanced.name/ru

[NickM]

Цитата defrogoskolianwes:

необходимо провести настройку сети таким образом, чтобы каждый компьютер получал два IP-адреса »

Т.е. Вы, реализовали такой способ получения адресов? А, зачем это задвоение адресов нужно?

Проблема может появиться в том случае, когда организация захочет одновременно пользоваться и авторизацией через ЕСИА и фильтрацией через прокси.

И вот тут встанет вопрос, а каким образом это реализовывать? Один из вариантов - это отделять АРМ учителей от ученических, определять их по какому-нибудь признаку, например, по MAC-адресу сетевой , тогда, в таком случае можно настроить DHCP на два пула с разными сетевыми настройками для клиентов.

Здесь следует пояснить, что:
- для отключения фильтрации, для возможности получения авторизации в ЕСИА, клиент ничего не должен знать о наличии прокси ЕСПД (т.е. трафик этого клиента должен напрямую уходить на шлюз), но должен "уметь" резолвить специально назначенные DNS в сети ЕСПД;
- для обеспечения фильтрации, весь трафик должен уходить на прокси ЕСПД.

Наверняка существуют способы "правильной" организации сети, но что-то ни один провайдером/ Ростелекомом, при внедрении в образовательные организации, не предлагается, увы.

[zz1666]

Цитата defrogoskolianwes:

как настроен DHCP-сервер в вашей сети »

Его настройки можно изменить. Только вот нужно ли это - большой вопрос) Пока пользуемся прокси. Из минусов: через него не работают платформы видеосвязи. Но пока что эти задачи единичны и руками помогаю авторизоваться через ЕСИА.

[NickM]

Цитата zz1666:

Из минусов: через него не работают платформы видеосвязи. »

Какие? И почему не работают? Ограничение из-за фильтрации или доступность тех, или иных портов?