Страница 6 из 12
Re: Микротик и ЕСПД
Добавлено: 24 мар 2022, 08:37
Mastit
Abalakovez писал(а): ↑23 мар 2022, 10:53
Если в свойствах браузера не стираешь проксю, компьютер не идет в интернет. Нужно убирать галочку.
Получается что мимо.
а у меня не получается - отключил второго провайдера, попросил выключить проксю на ноуте с бесфильровым ip - интернета без прокси нет!
Re: Микротик и ЕСПД
Добавлено: 25 мар 2022, 19:02
knyazdonskoy
Здравствуйте, вот и до меня докатилась эта ЕСПД. Раньше на форумы не писал, но почитал про Ваши и не только мучения и решил поделиться, может кому поможет.
Жил я приспокойно в одной из школ в нашей необъятной по совместительству. Инет от ростелека, pppoe, слабенький, 20 Мбит, вопрос финансирования, ну и компов всего 70. Так как школа сменила старое здание на новенькое, сеть и все что с этим связано пришлось строить с нуля. Техника новая была на тот (2014) год. Сразу было решено ЛВС строить на гигабит с соответствующими коммутаторами, поднимать свой MS AD, DHCP, DNS, файлопоймойку ну и т.д. В итоге на момент прихода ростелекома с ЕСПД (конец 2021) были, 5 сегментов сети (VLAN - основной, серверный, гостевой, видеонаблюдение, комп-класс), файловый сервер, wsus, ksc, openfire, ИКС (в режиме прокси/контент фильтра), удаленное управление всеми компами школу у админа (меня) и учителя информатики как из школы так и из дома (больничный), vpn свой (openvpn), по какой то случайности нам дали белый ип )))) ну и мелкие плюшки. То что все компы по dhcp, и под жесткими политиками AD промолчу. Основной шлюз на ubuntu server, правила полностью скриптом iptables + iproute2.
И пришел ростелеком со своей сетью. Требования: их адресация, основной шлюз, днс, прокси, сертификат, еще хотели DHCP запретить, но не удалось. Сначала был шок, даже выпить пришлось ))) неделю искал решение и таки нашел. Делюсь может кому поможет.
1. Решение с основным шлюзом - поднимаем в ЕСПД интерфейс на нашем роутере с адресом из сети ЕСПД. И на dhcp задаем опцией 249 (121 для XP) маршруты до наших старых сетей на этот адрес. клиентам выдаем основной шлюз какой просят. Ура, связь есть (не забудьте про фаервол на шлюзе). Работает на всех версиях windows.
2. ДНС. Для тех у кого домена нет - указываем в настройках dhcp то что просит ростелек. Для тех у кого домен есть, придется разворачивать (в моем случае виртуалку) дополнительный днс сервер (slave). На него передаем зоны с AD DNS, forward на ДНС ростелека в еспд. Я выбрал BIND9.
3. Прокси. Мое решение, не претендую на идеальность. У меня домен. Добавляем нужные ветки реестра, делаем группу в которую запихиваем компы в еспд, делаем нацеливание GPP, не забываем про исключения наших сетей и домена, и работает )))) Для тех у кого домена нет - можно запилить .reg файл.
4. Сертификат - в домене - GPO, без домена к сожалению ручками.
Ну и раскидываем новую подсеть до компов. У кого L2 управляемые, как у меня - еще один VLAN, у кого нет - в идеале отдельный физический сегмент со своими коммутаторами.
Если нужны параметры реестра для прокси, сообщите, напишу что именно надо прописать.
Ростелек сказал, что вроде как оставит "белый" инет)))
Re: Микротик и ЕСПД
Добавлено: 25 мар 2022, 19:27
knyazdonskoy
Если "белого" инета нет. Ка понял я, послушав "спецов" ростелеком. На нашем роутере основным шлюзом ставим default шлюз ЕСПД, пишем письмо на адрес (со странички фильтрации), на офф бланке, нужные протоколы, сайты и т.д. (можно попробовать открыть 1-65535 tcp/udp), указываем номера кабинетов (думаю можно указать - серверная) (не ФИО), и вроде как должны открыть. Не забываем про NAT и фаерволл. Но что-то мне подсказывает что со временем эту лавочку прикроют и придется на каждый ИП писать заявку ((((
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 12:41
wolodyawggu
Mastit писал(а): ↑24 мар 2022, 08:37
Abalakovez писал(а): ↑23 мар 2022, 10:53
Если в свойствах браузера не стираешь проксю, компьютер не идет в интернет. Нужно убирать галочку.
Получается что мимо.
а у меня не получается - отключил второго провайдера, попросил выключить проксю на ноуте с бесфильровым ip - интернета без прокси нет!
Отключение КФ на адресах без прокси работать не будет так как вы не покидаете сегмент ЦЭ. А вам просто включают полное разрешение на прокси по IP адресам.
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 17:32
wwn166
здравствуйте.прочитал ваше сообщение.по настройке микротик для еспд.у меня все аналогично.все прописано -в браузере прокси сервер включен и прописан и в сети до микротика все работает.но и виртуальная школа в том числе. для того чтобы работали планшетники и нетбуки для деток по wifi поставили микротик вот за ним только яндекс открывается.на нетбуке тоже включен прокси сервер и установлен сертификат. а мкротике прописан статический адресюмаска шлюз .туда же полжил ертификат.я так понял у вас еспд по школам подключили раньше а к на докатилось толко чтоюподелитесь как вы вышли из этой ситуации.спасибо
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 20:19
DuKle
Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский asus всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо asus сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 20:22
wolodyawggu
wwn166 писал(а): ↑26 мар 2022, 17:32
здравствуйте.прочитал ваше сообщение.по настройке микротик для еспд.у меня все аналогично.все прописано -в браузере прокси сервер включен и прописан и в сети до микротика все работает.но и виртуальная школа в том числе. для того чтобы работали планшетники и нетбуки для деток по wifi поставили микротик вот за ним только яндекс открывается.на нетбуке тоже включен прокси сервер и установлен сертификат. а мкротике прописан статический адресюмаска шлюз .туда же полжил ертификат.я так понял у вас еспд по школам подключили раньше а к на докатилось толко чтоюподелитесь как вы вышли из этой ситуации.спасибо
ЕСПД куда приходит? Микротик как настроен?
а мкротике прописан статический адресюмаска шлюз- какие именно?
Если у вас есть устройство куда входит СПД, то и микротик должен быть настроен на него (то есть он в качестве шлюза, куда входит), то есть не выданные вам РТ настройки.
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 20:24
wolodyawggu
DuKle писал(а): ↑26 мар 2022, 20:19
Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
Какие текущие настройки микрота? Версия ROS?
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 21:08
DuKle
wolodyawggu писал(а): ↑26 мар 2022, 20:24
DuKle писал(а): ↑26 мар 2022, 20:19
Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
Какие текущие настройки микрота? Версия ROS?
RouterOS v6.48.6
настройки каких разделов нужны?
я честно говоря уже запутался где что перенастраивал. столько вариантов перебрал
была мысль между микротиком и крпитошлюзом поставить комп... но как при этом реализовать часть компов за nat а часть напрямую - не понимаю
Re: Микротик и ЕСПД
Добавлено: 26 мар 2022, 21:31
wolodyawggu
DuKle писал(а): ↑26 мар 2022, 21:08
wolodyawggu писал(а): ↑26 мар 2022, 20:24
DuKle писал(а): ↑26 мар 2022, 20:19
Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
Какие текущие настройки микрота? Версия ROS?
RouterOS v6.48.6
настройки каких разделов нужны?
я честно говоря уже запутался где что перенастраивал. столько вариантов перебрал
была мысль между микротиком и крпитошлюзом поставить комп... но как при этом реализовать часть компов за nat а часть напрямую - не понимаю
В терминале Микротика введите
и содержание под спойлер