Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Подружить локалку и ЕСПД Ростелекома

Ответить
Настройки темы
Route/Bridge - Подружить локалку и ЕСПД Ростелекома

Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Добрый день!
Прошу прощения, если где-то ошибки, на сетевика не учился, увы...
Преамбула:
Скрытый текст

Несколько лет назад к нам в двери постучался Ростелеком и сообщил, что привёз нам по нашей же оптике "ЕСПД" (единая сеть передачи данных). Отобрали медиаконвертер, воткнули свитч eltex, настроили его, временно оставили старую услугу (отдельный порт свитча) и проверили ЕСПД.
Суть ЕСПД заключалась в том, что школам в городской местности привозят за счет региональных Министерств интернет 100 мбит. Вроде звучит неплохо, обновление оборудования, 100 мбит, но Ростелеком не был бы Ростелекомом, если бы не несколько НО:
1) удаленки туда нет никакой, даже между школами (это вроде можно решить через совместные письма в техподдержку, не проверял)
2) работает это всё через прокси с подменой сертификата
3) каждый понедельник прокси очень туго начинает работать
4) Изначально предлагалось воткнуть кабель ЕСПД в наш свитч, прописать на каждом компьютере их ip адрес из предоставленного диапазона, но тогда наши локальные ресурсы идут лесом.

Из плюсов: честные 100 мбит, фильтрация запрещенки через прокси - шик!

Немного поразбиравшись, я поднял клон основного шлюза (192.168.1.1/23), но с реквизитами ЕСПД (у него локальный ip 192.168.0.1/23), на DHCP настроил с помощью бывшего коллеги (веб-админку он писал сам) отдачу нужным группам (Замы, Учителя, Ученики) нужных шлюзов по умолчанию, в автозагрузку каждому компу кинул батник, который проверяет доступность шлюза ЕСПД - если он доступен, то прописывает настройки прокси в реестр. Если недоступен - удаляет их (если остались с прошлого раза). Скрипт нужен для того, чтобы можно было быстро переключаться между обычным интернетом по шлюзу 192.168.1.1 и ЕСПД 192.168.0.1.

Все было нормально, скрипт отрабатывал, переключение работало, пока в конце ноября не пришла указивка: компьютеры учителей и замов необходимо отключить от прокси и пускать уже через авторизацию по ЕСИА (грубо говоря учетка Госуслуг). Пустит он в интернет только те учетки, которые привязаны как учетки сотрудника организации (в ЕСИА есть учетка юрлица, к которой привязаны учетки педагогов).
Получается, что каптив-портал ЕСИА после авторизации принимает сессию для конкретного ip адреса, а т.к. все компьютеры за натом - то это сессия для ip адреса шлюза ЕСПД. По сути кто первый авторизовался - тот пустил всех напрямую, без прокси.
На данный момент различия в фильтрации я обошел тем, что
1) никому не отключал прокси, все пользуются интернетом с фильтрацией
2) поднял ещё клоны шлюза, раздав им собственные ip (в итоге шлюзов ЕСПД у меня 3: учителя, ученики, замы).
Получается, что если вдруг прокси будет отключен, то учителя, введя логин и пароль ЕСИА дадут доступ такому же компьютеру с отключенным прокси только для своего шлюза и ученики не попадут в интернет без фильтрации, а входить под учеткой стороннего человека на компьютере бессмысленно - не пустит вообще (не проверялось, со слов техподдержки).

В планах еще постройка WiFi сети, но я так полагаю это будет сделано абсолютно отдельным сегментом, и доступа к нашей локалке не будет
Предполагаю, что авторизация в ЕСИА обязательна по причине того, что в электронный дневник тоже пускает по ЕСИА, вероятно будет одна авторизация во все услуги сразу (но не факт)

Сама суть вопроса:
Не отказываясь от наших внутренних сервисов (домен, турникеты, сетевые папки, сетевые принтеры, Kaspersky Security Center, местные точки доступа, управляемые коммутаторы, видеорегистратор, несколько ip камер) получить каждому компьютеру ip из подсети ЕСПД?
Как научить DHCP сервер раздавать 2 ip адреса одному компу и возможно ли это вообще?
Как объединить нашу налаженную инфраструктуру и этот гребаный ЕСПД в одну сеть, чтобы и то и то работало? Я вижу только одно решение - 2 ip адреса на одном адаптере, но прописывать руками получается очень долго. Да и такое грубое объединение сети меня напрягает хотя бы тем, что извне для сотрудников РТ будут доступны все наши компы с открытыми портами, могут сканером ещё пройтись от нечего делать, сейчас хоть iptables на шлюзе может всё отбивать...

ЗЫ при необходимости могу набросать схему сети в части серверной

Отправлено: 10:25, 06-12-2022

 

Аватара для dmitryst

Ветеран


Сообщения: 7207
Благодарности: 897

Профиль | Отправить PM | Цитировать


Цитата zz1666:
сейчас хоть iptables на шлюзе »
может, там и прописать маршрутизацию для сетей 192.168.1.0/23 и 192.168.0.0/23? (/23? почему 23? ну, вам виднее)

-------
Осваиваю FreeBSD


Отправлено: 11:19, 06-12-2022 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для NickM

Ветеран


Contributor


Сообщения: 4408
Благодарности: 1040

Профиль | Отправить PM | Цитировать


Цитата zz1666:
Получается, что каптив-портал ЕСИА после авторизации принимает сессию для конкретного ip адреса, а т.к. все компьютеры за натом - то это сессия для ip адреса шлюза ЕСПД. По сути кто первый авторизовался - тот пустил всех напрямую, без прокси. »
Там же для сессии используются куки браузера, а не IP.

у Меня в некоторых школах пока работает сервер, который и светит задом в сегмент ЕСПД, что потребуется делать дальше - пока с вопросами не обращались.

Отправлено: 12:22, 06-12-2022 | #3


Ветеран


Сообщения: 2711
Благодарности: 252

Профиль | Отправить PM | Цитировать


а двойная аутентификация - по ид устройства и ид юзера - не то, что вам надо?
устройства подключаются по своим сертификатам, а если подключается юзер, то для доступа в сеть юзается уже его сертификат. по идее, это должно решать вопрос..

Отправлено: 14:50, 06-12-2022 | #4


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
может, там и прописать маршрутизацию для сетей 192.168.1.0/23 и 192.168.0.0/23? (/23? почему 23? ну, вам виднее) »
Ростелеком выдал ip адреса типа 10.*.*.*, 192.168.0.0/23 - это сеть школы, т.к. изначального диапазона не хватало 192.168.0.0/24. То есть наш школьный DHCP сконфигурирован на то, чтобы отдавать не 252 адреса, а фактически 506 (255+255-широковещательный, нулевые, адрес DHCP)
Вероятно я криво описал конфиг сети...

Есть основной шлюз, на нём и крутится DHCP, наклонировал его, обрубил на клонах DHCP, поменял настройки сетёвки, nginx для админки и iptables. Шлюзы ЕСПД находятся в той же сети, что и основной, всем компьютерам в сети фактически доступны все 4 шлюза, но надо руками писать - на что у учителей прав не хватает, посему используется полученное DHCP добро, а оно зависит от присвоенной компьютеру группы.
Цитата NickM:
Там же для сессии используются куки браузера, а не IP. »
Попробовал авторизоваться на ноутбуке, при этом системник также запрашивал авторизацию. После авторизации на ноуте, стационарный комп получил доступ в обход прокси. Так что сеанс начинается именно для ip 10.xxx.xxx.5, который принадлежит шлюзу
Возможно разнится ситуация от региона к региону, но сомневаюсь... у меня 66
Часто при сбоях на нашем прокси техподдержка рекомендовала прописать проксю соседних регионов - 45, 74, 59. Говорят замеряйте скорость, какой 100мбит отдаст - тот и используйте.
По мнению сапорта админ должен по всем клиентам пробежать и ручками браузер поправить, учитывая, что скрипт у меня самописный? Или каждый час скрипт распространять по клиентам, подменяя адреса? Вопрос риторический))
Цитата bredych:
а двойная аутентификация - по ид устройства и ид юзера - не то, что вам надо?
устройства подключаются по своим сертификатам, а если подключается юзер, то для доступа в сеть юзается уже его сертификат. по идее, это должно решать вопрос.. »
С точки зрения "чтобы у учителей был инет" я могу оставить как есть - первый входит, остальные ходят под его сессией. Но это породит вопросы "какого фига у меня запрашивает, у Люси нет" и со стороны РТ - почему только 1-2 учителя в сутки в инет выходят. Тем более каптив-портал целиком мне недоступен, у меня только веб-морда с требованием войти в учетку ЕСИА.

Отправлено: 19:05, 06-12-2022 | #5


Аватара для NickM

Ветеран


Contributor


Сообщения: 4408
Благодарности: 1040

Профиль | Отправить PM | Цитировать


Цитата zz1666:
Попробовал авторизоваться на ноутбуке, при этом системник также запрашивал авторизацию. После авторизации на ноуте, стационарный комп получил доступ в обход прокси. Так что сеанс начинается именно для ip 10.xxx.xxx.5, который принадлежит шлюзу
Возможно разнится ситуация от региона к региону, но сомневаюсь... у меня 66 »
Из инструкции:
Цитата:
3. Завершение авторизованной сессии:
В браузере, в котором Пользователь ранее проходил авторизацию и вышел в Интернет, необходимо повторно зайти на портал, например, введя в адресной строке его адрес: https://edu.wifi.rt.ru.
Важно, чтобы использовался тот же браузер без режима инкогнито: сессия запоминается с помощью cookie длительностью действия на 10 часов. На портале находится кнопка для завершения сессии:

Отправлено: 19:30, 06-12-2022 | #6


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата NickM:
Из инструкции: »
Техподдержка по телефону говорили о 8-12 часов и авторизации именно для ip адреса.
Лично проверял доступ без прокси на 2х устройствах, авторизовавшись только на одном из них. Есть шанс, что пока просто криво -косо работает... Но куки тут не столь уж и нужны получается... Иначе как бы он пустил соседний комп в инет?

Отправлено: 08:06, 07-12-2022 | #7


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата NickM:
у Меня в некоторых школах пока работает сервер »
у Вас сервер это и есть шлюз? Получается он раздаёт интернет ЕСПД для всех в локалке, при этом ЕСПД видит использование только 1 ip адреса?

Отправлено: 18:01, 12-12-2022 | #8


Аватара для NickM

Ветеран


Contributor


Сообщения: 4408
Благодарности: 1040

Профиль | Отправить PM | Цитировать


Цитата zz1666:
у Вас сервер это и есть шлюз? Получается он раздаёт интернет ЕСПД для всех в локалке, при этом ЕСПД видит использование только 1 ip адреса? »
Да, так на сег.день и работает.

Отправлено: 05:50, 13-12-2022 | #9


Новый участник


Сообщения: 16
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата NickM:
Да, так на сег.день и работает. »
у меня тоже так и работает, но со стороны РТ это типа низя так неправильно.

Отправлено: 09:36, 14-12-2022 | #10



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Route/Bridge - Подружить локалку и ЕСПД Ростелекома

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - Виртуальное хранилище Ростелекома и duplicati dimka_dodge Сетевые технологии 10 23-11-2021 15:15
Route/Bridge - NAT Ростелекома? AlexWhite Сетевые технологии 1 26-09-2017 09:04
Бездействие Ростелекома dislike Флейм 18 20-10-2016 13:16
VPN - Настройка VPN ростелекома на роутере в школе se636513 Сетевые технологии 3 05-03-2015 15:00
Интернет - Ретрансляция radiorecord в локалку 4elovek24 Microsoft Windows 7 1 20-04-2013 14:31




 
Переход