0 / 0 / 0
Регистрация: 16.03.2022
Сообщений: 3
|
|
1 | |
Подключение криптошлюза ростелеком через микротик16.03.2022, 08:57. Показов 8079. Ответов 37
Здравствуйте!
Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик. Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе. С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)? Если да, то как это можно реализовать?
0
|
16.03.2022, 08:57 | |
Ответы с готовыми решениями:
37
Подключение по ptpp Ростелеком (проблема) Лагает подключение через wi-fi (Ростелеком) подключение к общественной сети Ростелеком Подключение к микротик |
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
21.03.2022, 08:22 | 21 |
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
21.03.2022, 09:10 | 22 |
insect_87, Так от второго прова мы все равно отказываться будем, зачем он нам, если теперь у нас будет Ростелеком. Платить за второго провайдера никто не будет. Так что одного кинетика для этой системы хватит?
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
21.03.2022, 09:38 | 23 |
да.
но на каждом клиенте придется ставить сертификат и прописывать прокси. Адреса будет выдавать роутер
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
22.03.2022, 07:08 | 24 |
insect_87, В общем, поставил Keenetic между Eltex и тестовой машиной. Воткнулся во второй порт Eltex другой конец в WAN роутера, прописал на роутере на WAN интерфейсе свободный IP из диапазона адресов провайдера, 10.15.179.254/255.255.255.0, шлюз 10.15.179.1/255.255.255.0, DNS 8.8.8.8.
Кинетик имеет адрес 192.168.5.1, тестовая машина 192.168.5.2/255.255.255.0 шлюз 192.168.5.1. Инета нету ни на роутере, ни на клиенте соответственно. Хотя линк на WAN интерфейсе есть, горит зеленым (Доступ в инет) и идут обмены пакетами. Где то я что-то не то сделал похоже. Пробовал прописать на клиенте IP провайдерский 10.15.179.253/255.255.255.0, шлюз 192.168.5.1. Аналогично. Спросил сейчас у провайдера, может у них второй порт на Eltex вообще заблокирован на выход в инет. Пока молчат. Хочу еще попробовать воткнуться в порт куда заходит Криптошлюз, попробовать на том порте, но уже после обеда. Ну без криптошлюза инет на роутере то должен появится, хотя бы это проверить, на том порту Добавлено через 9 минут Я тут подумал что я тупанул, и втыкаться нужно было в сам криптошлюз, а не в Eltex. Воткнулся в криптошлюз, результата нету. Добавлено через 16 минут Короче, созвонился с провайдером. Они сказали что по тех.заданию так делать вообще нельзя. В этом случае все компы будут выходить через роутер с одного IP, который будет висеть на WAN интерфейсе роутера. Короче я запутался уже... И втыкаться мне нужно в 1 порт криптошлюза, потому что сейчас только на нем работает сегмент той сети, остальные порты офнуты
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
22.03.2022, 07:26 | 25 |
Вам надо wan кинетика к криптошлюза подключить
Добавлено через 23 секунды Ну писал же не один раз
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
22.03.2022, 08:03 | 26 |
Подключал, но не в рабочий порт.
С обеда приеду, буду пробовать в рабочий порт. Но РТ сказали что такая схема по тех.заданию запрещена. Они из-за этого сейчас хотят решать вопрос с другой школой, в которой видимо похожая схема подключения. Там точно домен у них стоит и криптошлюз, я был в этой школе. Там противный сис-админ, с ним общаться вообще нереально, по этому я к нему и не хочу обращаться
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
22.03.2022, 08:11 | 27 |
возможно.
И даже по словам одного знакомого человека где-то эта схема уже не работает (ссылаясь на инфу с других форумов). Но лично сам настроил такую схему в одной из школ - работает до сих пор. Попробовать - дело 5 минут
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
22.03.2022, 10:14 | 28 |
insect_87, Ну, в общем, воткнулся в 1 порт криптошлюза. На тестовом клиенте прописал IP 192.168.5.2/255.255.255.0 шлюз 192.168.5.1, поставил сертификат, инет на клиенте появился, но максимально криво работает. Ну и я так понял что IP из диапазона провайдера я клиентам не раздам никак. Все клиенты будут работать через один IP, который у роутера на WAN висит. Ростелеком сказали что это запрещено. А так, да, работает вроде, кривовато, сертификат как будто не принимает иногда и кидает на сайт espd.rt.ru чтобы скачать сертификат. Хрен знает что делать... Хоть из домена выводи машины. А их так просто сейчас из домена не вывести
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
22.03.2022, 11:08 | 29 |
0
|
4001 / 1580 / 310
Регистрация: 23.06.2009
Сообщений: 5,610
|
|
22.03.2022, 11:33 | 30 |
а вы не можете выдавать ip ПК через свой dhcp сервер из диапазона провайдера?
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
22.03.2022, 11:47 | 31 |
Именно в этом
Добавлено через 2 минуты Криптошлюз сейчас никак не связан с сервером, он стоит отдельно от всей системы. Ростелеком подключил только 2 кабинета сейчас, и для этого он прокинул новые два кабеля, чтобы подключить эти два кабинета напрямую в криптошлюз. Короче, система никак не связана. Я не могу понять, как это все организовать сейчас в домене, чтобы не отвалились 80+ машин от домена Добавлено через 9 минут Я уже тут думал. Воткнуть криптошлюз в сервер, а там уже как это все завернуть, развернуть, перенаправить. Я так понял в другой школе так и сделано, примерно, судя по тому как мне РТ сегодня объяснили. Но они тоже сейчас думают, что делать с той школой, потому что так делать нельзя. Я был в той школе на прошлой недели, у них машины в домене и интернет уже как я понял с криптошлюзом связан. Пффффф...... Надо завязывать с сис-админством, уже котелок не варит что-то, похоже на деменцию. Раньше как то лучше мозги работали
0
|
4001 / 1580 / 310
Регистрация: 23.06.2009
Сообщений: 5,610
|
|
22.03.2022, 11:53 | 32 |
не знаю, сработает или нет, вам нужно будет изменить адресацию в вашей сети на адресацию из диапазона выданного провайдером, диапазон то они предоставили?
а вообще не в теме этой движухи, но судя по постам из тематических форумов, там должны быть 2 диапазона адресов, одни с фильтрацией другие без, настраивайте ваш DHCP сервер на выдачу необходимых адресов, микротик включаете в криптошлюз или коммутатор провайдера, и на нем запрещаете отправку dhcp запросов в сеть провайдера, адреса будет выдавать ваш dhcp сервер, ну а дальше все как обычно, устанавливаете средствами AD сертификаты и поднимайте службу автонастройки прокси, а AD я тоже не дружу, не знаю как оно там делается, но по идее все должно работать там же следует позаботится о безопасности, т.к. там получается одна большая локалка, и возможно у кого угодно (из соседней школы и т.д.) будет доступ к сетевым устройствам вашей сети
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
22.03.2022, 11:59 | 33 |
Так и есть... Сейчас половина диапазона без фильтрации (должна быть, после того как я сообщу им какие ИП зарезервированы за администрацией школы), а половина с фильтрацией (для классов информатики). Но это все в одном диапазоне. А не скинете ссылку на тему (темы), где эти вопросы мусолят?
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
23.03.2022, 06:46 | 34 |
Только что снова разговаривал с РТ. Как раз спросил про этот момент. Они сказали, что да, так и было, и школы могли видеть друг друга, но вроде это должны были исправить (вроде), скорее всего нет
Далее начали снова обсуждать вопросы по домену. Короче, они тоже предложили вариант сменить адресацию домена. Эх... что-то я боюсь домен трогать в плане смены IP. Ну... как вариант, сделать снимок машины (HyperV) и тестировать, если что, откатиться на снимок. Далее начали обсуждать другую школу, в которой сейчас все работает. И как выяснилось, работает у них все сейчас так же, как мне и предложили сделать insect_87, все компы у них выходят в инет с одного IP адреса из пула провайдера. Только я так понял что у них маршрутизацией занимается сам сервер, а не роутер, ну без разницы... И так вот... Они разговаривали на эту тему с Админом данной школы, он их мягко говоря пока что послал, сказав что у них сложная локалка с доменом и выводить АРМы из домена он не собирается, потому что это неприемлемо (как и у меня ситуация) я их тоже шлю уже вторую неделю. Они с ним пока договорились так.... он им предоставляет список IP адресов закрепленных за учениками, чтобы они включили фильтрацию на этих IP, а остальные IP из диапазона пойдут без фильтрации. Я с ними о том же договорился пока что. Короче... смотрим что буде дальше.
0
|
4001 / 1580 / 310
Регистрация: 23.06.2009
Сообщений: 5,610
|
|
23.03.2022, 08:11 | 35 |
и? в конечном итоге как настраивать будете? всех НАТить с 1 ip? зачем тогда им ip адреса АРМ учеников?
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
23.03.2022, 08:17 | 36 |
.None, Да пока ничего делать не буду, пусть остальные школы подключают, посмотрим как они выкручиваться будут. Позже буду пробовать адресацию менять доменную, машины только забэкаплю перед тестированием. Нельзя натить всех с 1 IP, это же не логично... Если натить всех с одного IP, то они либо будут все под фильтрацией, либо не будут. Ну, либо ставить еще один роутер и просить их чтобы они настроили на втором порту Криптошлюза диапазон с фильтрацией, а на первом порте без фильтрации. Ну, наверное А потом из своей сети как то диапазон разделять, чтобы половина с фильтрацией шло, а половина без. Либо без роутера, все в сервер заводить и через оснастку RRAS маршрутить как то
Адреса им сейчас нужны для акта, чтобы завершить нашу школу. Пока в городе только одна школа полностью завершена, и там я так понял нету домена.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
23.03.2022, 13:56 | 37 |
можно натить одну группу под одним IP, вторую под другим
не нужен второй роутер. Добавлено через 3 минуты какая у вас модель роутера? а вспомнил... https://help.keenetic.com/hc/r... %D0%B2-NAT
0
|
3 / 3 / 3
Регистрация: 22.06.2011
Сообщений: 174
|
|
26.03.2022, 21:40 | 38 |
В криптошлюзе 2 порта один на ЦЭ второй открытый сегмент, если воткнете в открытый сегмент они это увидят и дадут люлей. Там не зря коробочки стоят.
По поводу домена, вы его в исключения прокси вписывали?
0
|
26.03.2022, 21:40 | |
26.03.2022, 21:40 | |
Помогаю со студенческими работами здесь
38
Нужно мониторить заббиксом подключение pppoe микротик VPN микротик to микротик + клиенты windows Электронная почта на смартфон через микротик Микротик не раздает интернет через WiFi Не могу подключится к РДП через Микротик Не проходит обращение по rdp через микротик Запретить ipv6 через ipv4 на Микротик Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |