[Avatar-Lion]

Cereal Keeler, Я этой проблемой недавно только начал заниматься, не знаю как часто меняются IP. Но там фишка еще в том, что есть куча суб-доменов, по типу emias.mosreg.ru, webview.mosreg.ru и т.п. У всех них могут быть разные IP. То есть невозможно сказать работает ли кнопка или ссылка на портале ЕМИАСа, пока врач не попробует ее нажать. Работает - хорошо, не работает - меняем DNS, пингуем нужный адрес, узнаем IP, вписываем в hosts, меняем DNS обратно на корпоративный... В общем, неудобно от слова "совсем". Особенно учитывая тот факт, что делать это все приходится во время приема пациентов.

bredych, Это все не вариант. Я же не нахожусь на работе 24\7, а вот врачи работают и с самого раннего утра, и поздно вечером, и в выходные. Поэтому пока только 1 комп я тестирую таким образом, т.е. руками вбиваю в hosts нужные адреса нужных сайтов. Тех.поддержка VipNet'а отослала к владельцу защищенной сети. ОК, написал в тех.поддержку Минздрава, т.к. формально это их сеть. Они предложили то же, что выше: либо юзать их DNS, либо настроить какую-то хрень на корпоративных DNS (дословно уже не помню). Короче, отослал их ответ нашим сис.админам, посмотрим что скажут.

P.S. Но таки да, админы могут и лесом послать, т.к. им это работать не мешает, а то что приходится выбирать между сайтами ЕМИАСа и корпоративными ресурсами - это проблемы тех, кому эти ресурсы нужны.

[bredych]

тут еще глупая идея пришла..
а если таблицы маршрутизации?
Типа, если надо на такой-то ип диапазон - идти на некий другой гейт (неважно, комп или рутер), где стоит днс этого емиаса или как там его.
А если всё остальное - то на обычный гейт с обычным днс
а?

[dmitryst]

а что никто не прокомментировал вариант с прописью ДНС в свойствах VPN-адаптера? Не сработает?

[Avatar-Lion]

bredych, Это было бы клёво, но я понятия не имею как такое делается. Про route add я в курсе, конечно, но там же нельзя диапазоны адресов задавать, не говоря уж о том, что мы не знаем какой IP будет у очередной ссылки вида *.mosreg.ru

dmitryst, Там нет VPN-соединения в обычном смысле этого слова. VipNet Client - это именно что клиент, по типу почтового клиента, т.е. в сетевых подключениях Винды нет VPN-соединения, как это обычно бывает. Плюс там реально есть встроенный почтовый клиент, чтобы защищенные узлы могли обмениваться сообщениям по защищенным каналам связи... Короче, что-то вроде Outlook'а, только который для связи с сервером поднимает собственное VPN-соединение. И все это еще фильтруется дополнительно встроенным файрволлом или типа того. Выглядит примерно так (картинка с инета): https://oldtbd.yanao.ru/upload/media...1%80%D1%8B.jpg

[dmitryst]

Цитата Avatar-Lion:

в сетевых подключениях Винды нет VPN-соединения, как это обычно бывает »

ясно-понятно. Значит, это не наш путь.

Цитата Avatar-Lion:

настроить какую-то хрень на корпоративных DNS »

Upstream provider DNS Forwarding, скорее всего.

[Cereal Keeler]

Avatar-Lion, а что говорит поддержка? Ваш случай явно не уникальный, неужели ничем не могут помочь?

[Avatar-Lion]

Цитата dmitryst:

Upstream provider DNS Forwarding, скорее всего. »

А это реально? Ведь DNS-сервер конторы вообще в другом городе и он явно не будет иметь доступа в защищенную сеть Минздрава, ведь соединение поднимается на отдельных конкретных ПК.

Cereal Keeler, Поддержка VipNet'а отослала к "координатору защищенной сети", то бишь к Минздраву. Минздрав предложил сделать чего-то там на наших DNS-серверах (возможно, тот самый Upstream provider DNS Forwarding, о котором выше dmitryst написал), я это все переправил админам, они сказали что это невозможно сделать. Ну и собственно, на этом всё закончилось. Типа, проблемы негров шерифа не волнуют, ковыряйтесь дальше сами.

В общем-то, я так понимаю, единственный вариант - это продолжить собирать IP-адреса различных субдоменов и пихать их в hosts. Кстати, а есть какой-нибудь способ узнать какие вообще адреса хранятся на DNS-сервере и выгрузить их в текстовом виде? В конце концов, это же внутренняя сеть Минздрава с доступом к конкретным ресурсам, вряд ли там 100500 доменов и IP-адресов.

[dmitryst]

Цитата Avatar-Lion:

Ведь DNS-сервер конторы вообще в другом городе »

Да хоть у гугла или где оно там... Мы настраиваем перенаправление на внешний ДНС сервер доменов, которые мы разрешить не можем. Тут-то и можно прописать сервреа минздрава или кто у вас там

Цитата Avatar-Lion:

какие вообще адреса хранятся на DNS-сервере и выгрузить их в текстовом виде »

насколько мне известно, никак. Нужно просто поиметь файлы конфигов, всех зон, которые обслуживает данный ДНС.

[Cereal Keeler]

Цитата Avatar-Lion:

Типа, проблемы негров шерифа не волнуют, ковыряйтесь дальше сами. »

А зачем тогда шериф нужен? Ну, то есть админы, которым явно лень? По мне так пора писать жалобу про отказ выполнять служебные обязанности со стороны админов. Я хз канеш как у вас там всё устроено и как иерархия выстроена, но у меня б админ, отказавшийся даже рассмотреть кейс, вылетел бы в один день по статье и долго никуда б не устроился.

[Avatar-Lion]

Цитата dmitryst:

Мы настраиваем перенаправление на внешний ДНС сервер доменов, которые мы разрешить не можем »

А это где настраивается-то? На локальном ПК?

Цитата dmitryst:

Тут-то и можно прописать сервера минздрава или кто у вас там »

ЕМИАС. Единая медицинская информационно-аналитическая система. Для простых граждан это сайт emias.info, а для врачей... Ну, с "обратной стороны" все чуть менее радужно, как видите.

Цитата dmitryst:

Нужно просто поиметь файлы конфигов, всех зон, которые обслуживает данный ДНС »

Хм... Т.е. мне отправить в Минздрав запрос вида "можете выслать файл конфига вашего DNS?". Или как это лучше сформулировать?

Цитата Cereal Keeler:

А зачем тогда шериф нужен? Ну, то есть админы, которым явно лень? »

Им не то чтобы лень... Я оформил заявку. Описал проблему. Потом в доп.письме описал ее еще раз, более подробно. Указал что я делал и какого результата хотелось бы достичь. В общем-то, могу всю переписку сюда завтра-послезавтра из почты скинуть, ничего секретного там нет, но я так понимаю, их молчание означает, что они сами не знают как такую проблему решить, тем более что я явно не первый эникейщик, который их просит о подобном. Клиника уже три года как открыта, если за три года не решили эту проблему, то едва ли сейчас что-то поменялось.