Подключение криптошлюза ростелеком через микротик

@PavlinM · Регистрация: 16.03.2022

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик.
Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе.

С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)?
Если да, то как это можно реализовать?

@insect_87 · 21.03.2022, 08:22

Сообщение от VariousW

Свой старый микрот hAP lite конечно можно притащить. Подумаю

через него можно сразу обоих провайдеров подключить

@VariousW · 21.03.2022, 09:10

insect_87, Так от второго прова мы все равно отказываться будем, зачем он нам, если теперь у нас будет Ростелеком. Платить за второго провайдера никто не будет. Так что одного кинетика для этой системы хватит?

@insect_87 · 21.03.2022, 09:38

да.
но на каждом клиенте придется ставить сертификат и прописывать прокси.
Адреса будет выдавать роутер

@VariousW · 22.03.2022, 07:08

insect_87, В общем, поставил Keenetic между Eltex и тестовой машиной. Воткнулся во второй порт Eltex другой конец в WAN роутера, прописал на роутере на WAN интерфейсе свободный IP из диапазона адресов провайдера, 10.15.179.254/255.255.255.0, шлюз 10.15.179.1/255.255.255.0, DNS 8.8.8.8.
Кинетик имеет адрес 192.168.5.1, тестовая машина 192.168.5.2/255.255.255.0 шлюз 192.168.5.1. Инета нету ни на роутере, ни на клиенте соответственно. Хотя линк на WAN интерфейсе есть, горит зеленым (Доступ в инет) и идут обмены пакетами. Где то я что-то не то сделал похоже. Пробовал прописать на клиенте IP провайдерский 10.15.179.253/255.255.255.0, шлюз 192.168.5.1. Аналогично.

Спросил сейчас у провайдера, может у них второй порт на Eltex вообще заблокирован на выход в инет. Пока молчат. Хочу еще попробовать воткнуться в порт куда заходит Криптошлюз, попробовать на том порте, но уже после обеда. Ну без криптошлюза инет на роутере то должен появится, хотя бы это проверить, на том порту

Добавлено через 9 минут
Я тут подумал что я тупанул, и втыкаться нужно было в сам криптошлюз, а не в Eltex. Воткнулся в криптошлюз, результата нету.

Добавлено через 16 минут
Короче, созвонился с провайдером. Они сказали что по тех.заданию так делать вообще нельзя. В этом случае все компы будут выходить через роутер с одного IP, который будет висеть на WAN интерфейсе роутера. Короче я запутался уже...

И втыкаться мне нужно в 1 порт криптошлюза, потому что сейчас только на нем работает сегмент той сети, остальные порты офнуты

@insect_87 · 22.03.2022, 07:26

Вам надо wan кинетика к криптошлюза подключить

Добавлено через 23 секунды
Ну писал же не один раз

@VariousW · 22.03.2022, 08:03

Сообщение от insect_87

Вам надо wan кинетика к криптошлюза подключить

Подключал, но не в рабочий порт.
С обеда приеду, буду пробовать в рабочий порт. Но РТ сказали что такая схема по тех.заданию запрещена. Они из-за этого сейчас хотят решать вопрос с другой школой, в которой видимо похожая схема подключения. Там точно домен у них стоит и криптошлюз, я был в этой школе. Там противный сис-админ, с ним общаться вообще нереально, по этому я к нему и не хочу обращаться

@insect_87 · 22.03.2022, 08:11

Сообщение от VariousW

Но РТ сказали что такая схема по тех.заданию запрещена

возможно.
И даже по словам одного знакомого человека где-то эта схема уже не работает (ссылаясь на инфу с других форумов).
Но лично сам настроил такую схему в одной из школ - работает до сих пор.
Попробовать - дело 5 минут

@VariousW · 22.03.2022, 10:14

insect_87, Ну, в общем, воткнулся в 1 порт криптошлюза. На тестовом клиенте прописал IP 192.168.5.2/255.255.255.0 шлюз 192.168.5.1, поставил сертификат, инет на клиенте появился, но максимально криво работает. Ну и я так понял что IP из диапазона провайдера я клиентам не раздам никак. Все клиенты будут работать через один IP, который у роутера на WAN висит. Ростелеком сказали что это запрещено. А так, да, работает вроде, кривовато, сертификат как будто не принимает иногда и кидает на сайт espd.rt.ru чтобы скачать сертификат. Хрен знает что делать... Хоть из домена выводи машины. А их так просто сейчас из домена не вывести

@insect_87 · 22.03.2022, 11:08

Сообщение от VariousW

кривовато

в чем это проявляется?

в этом:

Сообщение от VariousW

сертификат как будто не принимает иногда и кидает на сайт espd.rt.ru чтобы скачать сертификат

?

@.None · 22.03.2022, 11:33

а вы не можете выдавать ip ПК через свой dhcp сервер из диапазона провайдера?

@VariousW · 22.03.2022, 11:47

Сообщение от insect_87

этом

Именно в этом

Добавлено через 2 минуты

Сообщение от .None

а вы не можете выдавать ip ПК через свой dhcp сервер из диапазона провайдера?

Криптошлюз сейчас никак не связан с сервером, он стоит отдельно от всей системы. Ростелеком подключил только 2 кабинета сейчас, и для этого он прокинул новые два кабеля, чтобы подключить эти два кабинета напрямую в криптошлюз. Короче, система никак не связана. Я не могу понять, как это все организовать сейчас в домене, чтобы не отвалились 80+ машин от домена

Добавлено через 9 минут
Я уже тут думал. Воткнуть криптошлюз в сервер, а там уже как это все завернуть, развернуть, перенаправить. Я так понял в другой школе так и сделано, примерно, судя по тому как мне РТ сегодня объяснили. Но они тоже сейчас думают, что делать с той школой, потому что так делать нельзя. Я был в той школе на прошлой недели, у них машины в домене и интернет уже как я понял с криптошлюзом связан. Пффффф...... Надо завязывать с сис-админством, уже котелок не варит что-то, похоже на деменцию. Раньше как то лучше мозги работали

@.None · 22.03.2022, 11:53

не знаю, сработает или нет, вам нужно будет изменить адресацию в вашей сети на адресацию из диапазона выданного провайдером, диапазон то они предоставили?

а вообще не в теме этой движухи, но судя по постам из тематических форумов, там должны быть 2 диапазона адресов, одни с фильтрацией другие без, настраивайте ваш DHCP сервер на выдачу необходимых адресов, микротик включаете в криптошлюз или коммутатор провайдера, и на нем запрещаете отправку dhcp запросов в сеть провайдера, адреса будет выдавать ваш dhcp сервер, ну а дальше все как обычно, устанавливаете средствами AD сертификаты и поднимайте службу автонастройки прокси, а AD я тоже не дружу, не знаю как оно там делается, но по идее все должно работать

там же следует позаботится о безопасности, т.к. там получается одна большая локалка, и возможно у кого угодно (из соседней школы и т.д.) будет доступ к сетевым устройствам вашей сети

@VariousW · 22.03.2022, 11:59

Сообщение от .None

там должны быть 2 диапазона адресов, одни с фильтрацией другие без

Так и есть... Сейчас половина диапазона без фильтрации (должна быть, после того как я сообщу им какие ИП зарезервированы за администрацией школы), а половина с фильтрацией (для классов информатики). Но это все в одном диапазоне. А не скинете ссылку на тему (темы), где эти вопросы мусолят?

@VariousW · 23.03.2022, 06:46

Сообщение от .None

там же следует позаботится о безопасности, т.к. там получается одна большая локалка, и возможно у кого угодно (из соседней школы и т.д.) будет доступ к сетевым устройствам вашей сети

Только что снова разговаривал с РТ. Как раз спросил про этот момент. Они сказали, что да, так и было, и школы могли видеть друг друга, но вроде это должны были исправить (вроде), скорее всего нет

Далее начали снова обсуждать вопросы по домену. Короче, они тоже предложили вариант сменить адресацию домена. Эх... что-то я боюсь домен трогать в плане смены IP. Ну... как вариант, сделать снимок машины (HyperV) и тестировать, если что, откатиться на снимок.

Далее начали обсуждать другую школу, в которой сейчас все работает. И как выяснилось, работает у них все сейчас так же, как мне и предложили сделать insect_87, все компы у них выходят в инет с одного IP адреса из пула провайдера. Только я так понял что у них маршрутизацией занимается сам сервер, а не роутер, ну без разницы... И так вот... Они разговаривали на эту тему с Админом данной школы, он их мягко говоря пока что послал, сказав что у них сложная локалка с доменом и выводить АРМы из домена он не собирается, потому что это неприемлемо (как и у меня ситуация) я их тоже шлю уже вторую неделю.
Они с ним пока договорились так.... он им предоставляет список IP адресов закрепленных за учениками, чтобы они включили фильтрацию на этих IP, а остальные IP из диапазона пойдут без фильтрации.

Я с ними о том же договорился пока что.

Короче... смотрим что буде дальше.

@.None · 23.03.2022, 08:11

и? в конечном итоге как настраивать будете? всех НАТить с 1 ip? зачем тогда им ip адреса АРМ учеников?

@VariousW · 23.03.2022, 08:17

.None, Да пока ничего делать не буду, пусть остальные школы подключают, посмотрим как они выкручиваться будут. Позже буду пробовать адресацию менять доменную, машины только забэкаплю перед тестированием. Нельзя натить всех с 1 IP, это же не логично... Если натить всех с одного IP, то они либо будут все под фильтрацией, либо не будут. Ну, либо ставить еще один роутер и просить их чтобы они настроили на втором порту Криптошлюза диапазон с фильтрацией, а на первом порте без фильтрации. Ну, наверное

А потом из своей сети как то диапазон разделять, чтобы половина с фильтрацией шло, а половина без. Либо без роутера, все в сервер заводить и через оснастку RRAS маршрутить как то

Адреса им сейчас нужны для акта, чтобы завершить нашу школу. Пока в городе только одна школа полностью завершена, и там я так понял нету домена.

@insect_87 · 23.03.2022, 13:56

Сообщение от VariousW

Если натить всех с одного IP, то они либо будут все под фильтрацией, либо не будут

можно натить одну группу под одним IP, вторую под другим

Сообщение от VariousW

Ну, либо ставить еще один роутер и просить их чтобы они настроили на втором порту Криптошлюза диапазон с фильтрацией, а на первом порте без фильтрации.

не нужен второй роутер.

Добавлено через 3 минуты
какая у вас модель роутера?
а вспомнил...
https://help.keenetic.com/hc/r... %D0%B2-NAT

@Wladimir · 26.03.2022, 21:40

В криптошлюзе 2 порта один на ЦЭ второй открытый сегмент, если воткнете в открытый сегмент они это увидят и дадут люлей. Там не зря коробочки стоят.
По поводу домена, вы его в исключения прокси вписывали?

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.03.2022, 08:11	27
	Сообщение от VariousW Но РТ сказали что такая схема по тех.заданию запрещена возможно. И даже по словам одного знакомого человека где-то эта схема уже не работает (ссылаясь на инфу с других форумов). Но лично сам настроил такую схему в одной из школ - работает до сих пор. Попробовать - дело 5 минут 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	22.03.2022, 10:14	28
	insect_87, Ну, в общем, воткнулся в 1 порт криптошлюза. На тестовом клиенте прописал IP 192.168.5.2/255.255.255.0 шлюз 192.168.5.1, поставил сертификат, инет на клиенте появился, но максимально криво работает. Ну и я так понял что IP из диапазона провайдера я клиентам не раздам никак. Все клиенты будут работать через один IP, который у роутера на WAN висит. Ростелеком сказали что это запрещено. А так, да, работает вроде, кривовато, сертификат как будто не принимает иногда и кидает на сайт espd.rt.ru чтобы скачать сертификат. Хрен знает что делать... Хоть из домена выводи машины. А их так просто сейчас из домена не вывести 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.03.2022, 11:08	29
	Сообщение от VariousW кривовато в чем это проявляется? в этом: Сообщение от VariousW сертификат как будто не принимает иногда и кидает на сайт espd.rt.ru чтобы скачать сертификат ? 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,610
	22.03.2022, 11:33	30
	а вы не можете выдавать ip ПК через свой dhcp сервер из диапазона провайдера? 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	22.03.2022, 11:47	31
	Сообщение от insect_87 этом Именно в этом Добавлено через 2 минуты Сообщение от .None а вы не можете выдавать ip ПК через свой dhcp сервер из диапазона провайдера? Криптошлюз сейчас никак не связан с сервером, он стоит отдельно от всей системы. Ростелеком подключил только 2 кабинета сейчас, и для этого он прокинул новые два кабеля, чтобы подключить эти два кабинета напрямую в криптошлюз. Короче, система никак не связана. Я не могу понять, как это все организовать сейчас в домене, чтобы не отвалились 80+ машин от домена Добавлено через 9 минут Я уже тут думал. Воткнуть криптошлюз в сервер, а там уже как это все завернуть, развернуть, перенаправить. Я так понял в другой школе так и сделано, примерно, судя по тому как мне РТ сегодня объяснили. Но они тоже сейчас думают, что делать с той школой, потому что так делать нельзя. Я был в той школе на прошлой недели, у них машины в домене и интернет уже как я понял с криптошлюзом связан. Пффффф...... Надо завязывать с сис-админством, уже котелок не варит что-то, похоже на деменцию. Раньше как то лучше мозги работали 0

@PavlinM 0 / 0 / 0 Регистрация: 16.03.2022 Сообщений: 3
		1
	Подключение криптошлюза ростелеком через микротик 16.03.2022, 08:57. Показов 8079. Ответов 37 Метки интернет, микротик, настройка маршрутизаторов (Все метки) Здравствуйте! Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик. Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе. С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)? Если да, то как это можно реализовать? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.03.2022, 08:22	21
	Сообщение от VariousW Свой старый микрот hAP lite конечно можно притащить. Подумаю через него можно сразу обоих провайдеров подключить 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	21.03.2022, 09:10	22
	insect_87, Так от второго прова мы все равно отказываться будем, зачем он нам, если теперь у нас будет Ростелеком. Платить за второго провайдера никто не будет. Так что одного кинетика для этой системы хватит? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.03.2022, 09:38	23
	да. но на каждом клиенте придется ставить сертификат и прописывать прокси. Адреса будет выдавать роутер 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	22.03.2022, 07:08	24
	insect_87, В общем, поставил Keenetic между Eltex и тестовой машиной. Воткнулся во второй порт Eltex другой конец в WAN роутера, прописал на роутере на WAN интерфейсе свободный IP из диапазона адресов провайдера, 10.15.179.254/255.255.255.0, шлюз 10.15.179.1/255.255.255.0, DNS 8.8.8.8. Кинетик имеет адрес 192.168.5.1, тестовая машина 192.168.5.2/255.255.255.0 шлюз 192.168.5.1. Инета нету ни на роутере, ни на клиенте соответственно. Хотя линк на WAN интерфейсе есть, горит зеленым (Доступ в инет) и идут обмены пакетами. Где то я что-то не то сделал похоже. Пробовал прописать на клиенте IP провайдерский 10.15.179.253/255.255.255.0, шлюз 192.168.5.1. Аналогично. Спросил сейчас у провайдера, может у них второй порт на Eltex вообще заблокирован на выход в инет. Пока молчат. Хочу еще попробовать воткнуться в порт куда заходит Криптошлюз, попробовать на том порте, но уже после обеда. Ну без криптошлюза инет на роутере то должен появится, хотя бы это проверить, на том порту Добавлено через 9 минут Я тут подумал что я тупанул, и втыкаться нужно было в сам криптошлюз, а не в Eltex. Воткнулся в криптошлюз, результата нету. Добавлено через 16 минут Короче, созвонился с провайдером. Они сказали что по тех.заданию так делать вообще нельзя. В этом случае все компы будут выходить через роутер с одного IP, который будет висеть на WAN интерфейсе роутера. Короче я запутался уже... И втыкаться мне нужно в 1 порт криптошлюза, потому что сейчас только на нем работает сегмент той сети, остальные порты офнуты 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	22.03.2022, 07:26	25
	Вам надо wan кинетика к криптошлюза подключить Добавлено через 23 секунды Ну писал же не один раз 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	22.03.2022, 08:03	26
	Сообщение от insect_87 Вам надо wan кинетика к криптошлюза подключить Подключал, но не в рабочий порт. С обеда приеду, буду пробовать в рабочий порт. Но РТ сказали что такая схема по тех.заданию запрещена. Они из-за этого сейчас хотят решать вопрос с другой школой, в которой видимо похожая схема подключения. Там точно домен у них стоит и криптошлюз, я был в этой школе. Там противный сис-админ, с ним общаться вообще нереально, по этому я к нему и не хочу обращаться 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,610
	22.03.2022, 11:53	32
	не знаю, сработает или нет, вам нужно будет изменить адресацию в вашей сети на адресацию из диапазона выданного провайдером, диапазон то они предоставили? а вообще не в теме этой движухи, но судя по постам из тематических форумов, там должны быть 2 диапазона адресов, одни с фильтрацией другие без, настраивайте ваш DHCP сервер на выдачу необходимых адресов, микротик включаете в криптошлюз или коммутатор провайдера, и на нем запрещаете отправку dhcp запросов в сеть провайдера, адреса будет выдавать ваш dhcp сервер, ну а дальше все как обычно, устанавливаете средствами AD сертификаты и поднимайте службу автонастройки прокси, а AD я тоже не дружу, не знаю как оно там делается, но по идее все должно работать там же следует позаботится о безопасности, т.к. там получается одна большая локалка, и возможно у кого угодно (из соседней школы и т.д.) будет доступ к сетевым устройствам вашей сети 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	22.03.2022, 11:59	33
	Сообщение от .None там должны быть 2 диапазона адресов, одни с фильтрацией другие без Так и есть... Сейчас половина диапазона без фильтрации (должна быть, после того как я сообщу им какие ИП зарезервированы за администрацией школы), а половина с фильтрацией (для классов информатики). Но это все в одном диапазоне. А не скинете ссылку на тему (темы), где эти вопросы мусолят? 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	23.03.2022, 06:46	34
	Сообщение от .None там же следует позаботится о безопасности, т.к. там получается одна большая локалка, и возможно у кого угодно (из соседней школы и т.д.) будет доступ к сетевым устройствам вашей сети Только что снова разговаривал с РТ. Как раз спросил про этот момент. Они сказали, что да, так и было, и школы могли видеть друг друга, но вроде это должны были исправить (вроде), скорее всего нет Далее начали снова обсуждать вопросы по домену. Короче, они тоже предложили вариант сменить адресацию домена. Эх... что-то я боюсь домен трогать в плане смены IP. Ну... как вариант, сделать снимок машины (HyperV) и тестировать, если что, откатиться на снимок. Далее начали обсуждать другую школу, в которой сейчас все работает. И как выяснилось, работает у них все сейчас так же, как мне и предложили сделать insect_87, все компы у них выходят в инет с одного IP адреса из пула провайдера. Только я так понял что у них маршрутизацией занимается сам сервер, а не роутер, ну без разницы... И так вот... Они разговаривали на эту тему с Админом данной школы, он их мягко говоря пока что послал, сказав что у них сложная локалка с доменом и выводить АРМы из домена он не собирается, потому что это неприемлемо (как и у меня ситуация) я их тоже шлю уже вторую неделю. Они с ним пока договорились так.... он им предоставляет список IP адресов закрепленных за учениками, чтобы они включили фильтрацию на этих IP, а остальные IP из диапазона пойдут без фильтрации. Я с ними о том же договорился пока что. Короче... смотрим что буде дальше. 0

	26.03.2022, 21:40

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,610
	23.03.2022, 08:11	35
	и? в конечном итоге как настраивать будете? всех НАТить с 1 ip? зачем тогда им ip адреса АРМ учеников? 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	23.03.2022, 08:17	36
	.None, Да пока ничего делать не буду, пусть остальные школы подключают, посмотрим как они выкручиваться будут. Позже буду пробовать адресацию менять доменную, машины только забэкаплю перед тестированием. Нельзя натить всех с 1 IP, это же не логично... Если натить всех с одного IP, то они либо будут все под фильтрацией, либо не будут. Ну, либо ставить еще один роутер и просить их чтобы они настроили на втором порту Криптошлюза диапазон с фильтрацией, а на первом порте без фильтрации. Ну, наверное А потом из своей сети как то диапазон разделять, чтобы половина с фильтрацией шло, а половина без. Либо без роутера, все в сервер заводить и через оснастку RRAS маршрутить как то Адреса им сейчас нужны для акта, чтобы завершить нашу школу. Пока в городе только одна школа полностью завершена, и там я так понял нету домена. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	23.03.2022, 13:56	37
	Сообщение от VariousW Если натить всех с одного IP, то они либо будут все под фильтрацией, либо не будут можно натить одну группу под одним IP, вторую под другим Сообщение от VariousW Ну, либо ставить еще один роутер и просить их чтобы они настроили на втором порту Криптошлюза диапазон с фильтрацией, а на первом порте без фильтрации. не нужен второй роутер. Добавлено через 3 минуты какая у вас модель роутера? а вспомнил... https://help.keenetic.com/hc/r... %D0%B2-NAT 0

@Wladimir 3 / 3 / 3 Регистрация: 22.06.2011 Сообщений: 174
	26.03.2022, 21:40	38
	В криптошлюзе 2 порта один на ЦЭ второй открытый сегмент, если воткнете в открытый сегмент они это увидят и дадут люлей. Там не зря коробочки стоят. По поводу домена, вы его в исключения прокси вписывали? 0