Микротик и ЕСПД

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

Mastit писал(а): 28 мар 2022, 09:11
knyazdonskoy писал(а): 28 мар 2022, 08:55 Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит.
это адреса, которые без фильтрации? - если так, то их желание (конкретный адрес - конкретный кабинет) логично, но то, как эти адреса в эти кабинеты будут прилетать их не касается, поэтому их хотелки с отменой dhcp идут лесом!
Их интерересует, чтобы учащиеся не могли получить открытый интернет. Все так или иначе будет проходит через прокси и с тем же сертификатом, но только на этих адресах её отключат.
PS теоретически, как на практике пока не видел, заявку отправил, но она еще в обработке. Опробуем посмотрим, теория одно практика другое может быть.


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

wolodyawggu писал(а): 28 мар 2022, 15:26 Все так или иначе будет проходит через прокси и с тем же сертификатом, но только на этих адресах её отключат.
я в курсе - у меня это уже работает - вконтакте и википедия открывается... а порнхаб нет :ps_ih: (шутка)))


wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

knyazdonskoy писал(а): 28 мар 2022, 09:28 Согласно схеме ЕСПД http://imcluga.ru/wp-content/uploads/20 ... %D0%BC.pdf

Своей адресации не должно быть вообще. Есть два контура - открытый (с которым мы мучаемся) и закрытый (там будут только ГИСы). В открытом контуре все компы школы, кроме тех что для ГИСов (сейчас на них VipNet стоит или у кого что), и у всех ПК статическая адресация (ибо они привязывают ИП - кабинет). И вот для нужных ИП из их сети пишется: кабинет директора - vk, ok.ru ну и т.д. (возможно можно и протоколы с портами) и так для каждого.

Мы можем НАТом спрятаться за какой нить ИП, со своей подсетью и там делать что вздумается, но это "немного" незаконно. К нам пару раз приходили, правда не помню откуда, проверяли контент фильтр, на флешке какая то программулина, которую касперский схавал )))). Она проверяет доступность доменов, ип, а потом эти проверяющие ручками тестировали поисковую выдачу. Но это было когда контент фильтр был свой. Как будут проверять сейчас - не знаю, вдруг ИП сверять будут, а у нас там 192.168...

Так что видимо надо готовиться к выходу из своих сетей, ну если только там видеонаблюдение, скуды, сервера, телевизоры, интерфейсы управления. ПК они точно все дожмут рано или поздно. Они приходят уже с инфой сколько компьютеров стоит на балансе школы, берут они ее у отделов образования.

Вообще идея такой сегментации с точки зрения безопасности и контроля вполне неплоха, во многих гос органах именно так и сделано, но там из-за персональных данных. Только они не учли специфику школы - надо было делать еще один сегмент для администрации и учителей.
ЕСПД расчитывался как сегмент доступности, чтобы все были равноправны. Ведь он не только в школах, но и техникумах и прочего. Можно сказать, что это типа гос сети, которую пытаются запустить. По поводу открытого интернета, тут я думаю преследуется 2 цели Русский Инет и Русская сеть. За Натом мы можем спрятать все что угодно, но смысл сертификата и настройки прокси сервера, контроль трафика, он так или иначе расшифруется у них на оборудовании. Без сертификата, он не коннектиться на Прокси мол чужой (чем то Cisco напоминает, с групповыми политиками)


wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

Mastit писал(а): 28 мар 2022, 15:31
wolodyawggu писал(а): 28 мар 2022, 15:26 Все так или иначе будет проходит через прокси и с тем же сертификатом, но только на этих адресах её отключат.
я в курсе - у меня это уже работает - вконтакте и википедия открывается... а порнхаб нет :ps_ih: (шутка)))
Работает в их сегменте?


wolodyawggu
Сообщения: 180
Зарегистрирован: 30 дек 2019, 16:47

DuKle писал(а): 27 мар 2022, 18:40 Добрый день! Спасибо за такую быструю реакцию!
По конфигурации сети вот что могу сказать:
188.19.74.53 - это белый айпишник выданный на старый нормальный канал без ЕСПД
10.196.209.2 - это выданный нам статический айпишник для интерфейса с ЕСПД. Там вообще-то диапазон от 2 до 254.

У нас в сети несколько вланов - для телефонии,для видеонаблюдения, для лифтов, для вай-фай сети, для проводной сети и для "детского интернета" - РТ раньше нам давал еще один обрезаный канал с фильтрацией. В этот влан вешал компы, которые должны были идти в сеть через детский интернет. Щас на этот интерфейс приходит канал от крипто-шлюза ЕСПД
Помимо статического айпишника, выдали ещё айпишник прокси сервера который собсна должен фильтровать трафик.
А помимо всего этого, еще нужно сертификат устанавливать.

Я делал в роутере все настройки которые давал РТ, настраивал рабочие места, и проблема в том, что после настроек,на компах открываются только сайты которые могут работать по http. https никакие не открываются
В исключения прокси сервера на ОС что прописывали? Сертификат ставили для пользователя или для машины (не помню как 2 пункт называется)?
У вас там осталась рабочая конфигурация, на которой работал интет на IP 188.19.74.53? Как я написал, там он у вас куда то ломится, но что то не получает, скорее всего не по тому маршруту идет.


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

wolodyawggu писал(а): 28 мар 2022, 15:36 Работает в их сегменте?
по школе dhcp сервер раздаёт их подсеть - динамически с фильтром, статику без фильтра. + статику из другой подсети, которая уходит на второго провайдера.

на микротике два порта в бридже - один смотрит в ртшный коммутатор, другой в школьный свич. на бридже вышеупомянутый dhcp сервер


knyazdonskoy
Сообщения: 7
Зарегистрирован: 25 мар 2022, 18:33

wolodyawggu писал(а): 28 мар 2022, 15:36
Mastit писал(а): 28 мар 2022, 15:31
wolodyawggu писал(а): 28 мар 2022, 15:26 Все так или иначе будет проходит через прокси и с тем же сертификатом, но только на этих адресах её отключат.
я в курсе - у меня это уже работает - вконтакте и википедия открывается... а порнхаб нет :ps_ih: (шутка)))
Работает в их сегменте?
Заявку писали на каждый ИП, на диапазон не пробовали? Открывали сайты или протоколы?


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

knyazdonskoy писал(а): 28 мар 2022, 15:55 Заявку писали на каждый ИП, на диапазон не пробовали?
я этим непосредственно не занимаюсь (я только железки под поставленные задачи настраиваю), но видел письмо - там табличка - ip, фио, должность и формулировка типа "снять контентную фильтрацию..." без упоминания ресурсов и протоколов


Abalakovez
Сообщения: 17
Зарегистрирован: 15 мар 2022, 06:34

Фильтр то не обойти, но если мы на этот ИП напишем заявку на открытие всего и вся и будем пускать туда пользователей из своей сети - очень даже обойти, они то будут думать что это, например, компьютер админа, а по факту за ним может быть вообще всё. И кстати палится это очень просто на проксе, так как они увидят кучу user id которые передадут браузеры, и очень подозрительный TTL. Спрятаться полностью поможет только своя прокся (каскадная) с настройками передачи userid и т.д. Ну и фиксация TTL на роутере. И то, думаю если на той стороне стоит что-то, что мониторит трафик, может вылезти аллерт типа "много обращений в секунду".
В школе несет ответственность директор. Поэтому они и открывают IP после заявки на определенную фамилию. То есть айпи привязывается к человеку. Они не будут проверять это, им и не нужно это. Проверить может только прокуратура. И им придется объяснять почему айпишник выданный директору используется на роутере для раздачи всей школе. Провайдера вы не обязаны пускать за компы. Они ввели вам шнурок. Далее если у вас нет с ними другого договора, вы делаете сами все. Они полностью подают фильтрованный трафик. Когда мы пишем заявку на открытие IP, мы берем ответственность за этот айпи на себя, то есть на директора учреждения.


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

DuKle писал(а): 27 мар 2022, 19:47 Потому-что parent proxy не видно?
а выделенное - это что и где? - чёта меня смущают вот эти
/ip proxy
set parent-proxy=0.0.0.0
строчки в приведённом конфиге


Ответить