Подключение криптошлюза ростелеком через микротик

@PavlinM · Регистрация: 16.03.2022

Author24 — интернет-сервис помощи студентам

Здравствуйте!
Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик.
Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе.

С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)?
Если да, то как это можно реализовать?

@.None · 16.03.2022, 09:09

если есть AD, то его средствами, если нет, бегать.

есть еще вариант установить где-нить сквид в прозрачном режиме, подкинуть туда сертификат, и завернуть трафик на прокси, в настройках прокси парентом указать прокси ростелекома, не знаю заработает такая схема или нет, по идее должна, хоть бери и собирай стенд...

@insect_87 · 16.03.2022, 09:50

именно только с одним mikrotik - не прокатит.
нужна железка, которая сама может выступать в качестве прозрачного https proxy и при этом на этой железке указать parent proxy - прокси провайдера. - я как-то хотел это поднять, но потом плюнул. и поставил сертификаты вручную на каждую машину, благо их и 30 не было

@.None · 16.03.2022, 10:15

в качестве "железки" подойдет любой ПК, с виртуалкой и fscence или openwrt на борту и управлять удобно через web

@PavlinM · 16.03.2022, 11:17 **[ТС]**

Спасибо, буду разбираться. Скорее всего действительно попробую поставить всё через AD.

@VariousW · 18.03.2022, 09:43

У нас тоже этот долбанный криптошлюз поставили. Стоит сейчас сервер с AD в подсети 192.168.5.0, а пул адресов от криптошлюза вообще другой. Я вот сейчас пытаюсь понять, как сделать так, чтобы машины не потеряли связь с доменом. Если указать адреса из подсети криптошлюза, то машины потеряют домен. Я думаю, как то маршрутизацию можно организовать? Сейчас у меня стоит роутер в который заходит провайдер (не ростелеком), дальше с роутера идет шнурок в сам сервер железный, адреса там такие
AD1 - 192.168.5.110
AD2 - 192.168.5.120
Proxy Traffic Inspector - 192.168.5.115 (там же RRAS)
KSC - 192.168.5.130

Короче, пришел Ростелеком и все сломал. Сейчас пока что только 2 кабинета информатики под криптошлюзом, уже без домена 30 компов. На следующей недели они придут ломать дальше и подключать всю школу полностью. Из домена вывалятся все машины

@insect_87 · 18.03.2022, 13:28

VariousW, от адресов провайдера уйти можно легко.
ставите на границе между вашей сетью и "криптошлюзом" NAT роутер.
на WAN прописываете один из адресов, выданный провайдером и включаете source NAT для сети 192.168.5.0/24 (masquerade)
прописываете так же дефолтный шлюз через провайдера.
на LAN вешаете адрес из 5 подсети - он же будет шлюзом для клиентов.
DHCP сервер можете поднять хоть на роутере, хоть на сервере внутри вашей сети.

Клиентам, которые будут ходить через Ростелеком в качестве шлюза надо отдавать LAN IP этого роутера.

куда раньше кабель провайдера приходил до установки "криптошлюза"?

Сообщение от VariousW

Proxy Traffic Inspector - 192.168.5.115 (там же RRAS)

при использовании инета от Ростелекома с сертификатами у клиентов можете про все файрволлы забыть, теперь трафик от каждого клиента до провайдера идет шифрованным, транзитные устройства и файрволлы под вашей зоной ответственности его не смогут расшифровать, просмотреть

Не по теме:

Кстати на TI же можно включить обычный NAT, а не использовать его как прокси

@VariousW · 18.03.2022, 14:28

Сообщение от insect_87

куда раньше кабель провайдера приходил до установки "криптошлюза"?

У нас сейчас пока что система такая, что заходит два провайдера. То что был ранее, как раз весит на роутере Keenetic, он поднимает PPPoE и дальше уже кабель идет до сервера центрального. Ростелеком сейчас поставил криптошлюз и завел туда свой интернет, оттуда уже кинул два кабеля в кабинет 107 и кабинет 112, это кабинеты информатики, там по 15 машин, они сейчас под криптошлюзом. Остальная школа пока что на прокси Traffic Inspector сидит, в нашей школьной доменной сети.

@insect_87 · 18.03.2022, 15:08

ну вот поставьте роутер после "криптошлюза", WAN роутера соедините патчкордом с "криптошлюзом", от LAN - кабеля в кабинеты
потом кабелем из LAN порта можно подвязать все это к основному броадкасту в сети 192.168.5.0,
но есть и второй более правильный вариант

Сообщение от VariousW

Остальная школа пока что на прокси Traffic Inspector сидит, в нашей школьной доменной сети.

у вас есть в сети DHCP-сервер?
если есть, то какие параметры он раздает клиентам (адрес, маска, шлюз и DNS)?

как я уже выше говорил, вариантов объединения в одну сеть два:
- связать все в один броадкаст,
- поделить сеть на VLAN, связать сети через маршрутизацию

было бы не плохо, если бы вы предоставили схему сети со всеми устройствами (такую, как она выглядит на данный момент)

@VariousW · 18.03.2022, 17:17

Сообщение от insect_87

у вас есть в сети DHCP-сервер?

Есть. Раздает IP, маску, шлюз, DNS.

На следующей недели попробую схему накидать.

@insect_87 · 18.03.2022, 17:52

Раздает IP, маску, шлюз, DNS.

Какая маска, что указано шлюзом, что в кач-ве dns?
На чем поднят DHCP сервер? На каком устройстве?
У клиентов криптошлюза статические адреса?

@VariousW · 18.03.2022, 18:38

insect_87, Короче... Стоит железный сервер DELL, на нем вертятся виртуалки виндовые.
ADDS01, на нем же DHCP и DNS - 192.168.5.110/255.255.255.0
ADDS02 резервный, на нем же DHCP и DNS - 192.168.5.120/255.255.255.0
Далее виртуалка с Traffic Inspector в которую уже залетает инет от прова (не от ростелекома) она же шлюз 192.168.5.115 она же прописана в DHCP шлюзом

У клиентов криптошлюза статика, да.

@insect_87 · 18.03.2022, 19:33

Ну вот и даёте другому роутеру LAN адрес 192.168.5.1, на WAN даёте адрес от РТ и прописываете дефолтный шлюз. Так же выключаете DHCP сервер на роутере.
Подключаете один из портов роутера в свитч, и туда же ваш сервер.
А клиентам криптошлюза приписываете шлюз 192.168.5.1 и статические адреса вне пула DHCP сервера, dns 5.110 и 5.120.
Или делаете на сервере резервирования по Mac для этих клиентов со своим шлюзом

Свитчи управляемые есть?

@VariousW · 18.03.2022, 22:04

Сообщение от insect_87

Свитчи управляемые есть?

Нет, управляемых нету

@insect_87 · 18.03.2022, 22:13

Ну тогда вот так, как в 13 посте

@VariousW · 21.03.2022, 04:04

insect_87, Кстати... Я тут вспомнил. К криптошлюзу подключен КОММУТАТОР ДОСТУПА MES2408CP
https://eltex-co.ru/catalog/et... mes2408cp/ я так понял в него заходит кабель от оптики ростелекомоский, а дальше уже он соединен с криптошлюзом. Я так понял это управляемый коммутатор, к которому у меня доступа нету. Блин... понатыкали со своими криптошлюзами...

@VariousW · 21.03.2022, 07:02

Короче... как смог

По части IP адресов криптошлюза, надо уточнять. Но ПК которые сейчас через него работают, имеют адреса из подсети 10.14.179.0/255.255.255.0

@VariousW · 21.03.2022, 07:09

Ой... по моему они маску имеют 255.255.0.0
Надо глянуть после обеда.

@insect_87 · 21.03.2022, 07:35

Я в принципе рассказал всё в 13 посте
Пробуйте.
Вам нужен ещё один роутер

Добавлено через 1 минуту
Или вместо кинетика mikrotik

@VariousW · 21.03.2022, 08:03

insect_87, ну кинетик освободится, после отключения провайдера. Есть ещё один старенький кинетик. На микротик сейчас никто не даст денег. Свой старый микрот hAP lite конечно можно притащить. Подумаю

@PavlinM 0 / 0 / 0 Регистрация: 16.03.2022 Сообщений: 3
		1
	Подключение криптошлюза ростелеком через микротик 16.03.2022, 08:57. Показов 8076. Ответов 37 Метки интернет, микротик, настройка маршрутизаторов (Все метки) Здравствуйте! Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик. Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе. С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)? Если да, то как это можно реализовать? 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,610
	16.03.2022, 09:09	2
	если есть AD, то его средствами, если нет, бегать. есть еще вариант установить где-нить сквид в прозрачном режиме, подкинуть туда сертификат, и завернуть трафик на прокси, в настройках прокси парентом указать прокси ростелекома, не знаю заработает такая схема или нет, по идее должна, хоть бери и собирай стенд... 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	16.03.2022, 09:50	3
	именно только с одним mikrotik - не прокатит. нужна железка, которая сама может выступать в качестве прозрачного https proxy и при этом на этой железке указать parent proxy - прокси провайдера. - я как-то хотел это поднять, но потом плюнул. и поставил сертификаты вручную на каждую машину, благо их и 30 не было 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,610
	16.03.2022, 10:15	4
	в качестве "железки" подойдет любой ПК, с виртуалкой и fscence или openwrt на борту и управлять удобно через web 0

@PavlinM 0 / 0 / 0 Регистрация: 16.03.2022 Сообщений: 3
	16.03.2022, 11:17 [ТС]	5
	Спасибо, буду разбираться. Скорее всего действительно попробую поставить всё через AD. 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	18.03.2022, 09:43	6
	У нас тоже этот долбанный криптошлюз поставили. Стоит сейчас сервер с AD в подсети 192.168.5.0, а пул адресов от криптошлюза вообще другой. Я вот сейчас пытаюсь понять, как сделать так, чтобы машины не потеряли связь с доменом. Если указать адреса из подсети криптошлюза, то машины потеряют домен. Я думаю, как то маршрутизацию можно организовать? Сейчас у меня стоит роутер в который заходит провайдер (не ростелеком), дальше с роутера идет шнурок в сам сервер железный, адреса там такие AD1 - 192.168.5.110 AD2 - 192.168.5.120 Proxy Traffic Inspector - 192.168.5.115 (там же RRAS) KSC - 192.168.5.130 Короче, пришел Ростелеком и все сломал. Сейчас пока что только 2 кабинета информатики под криптошлюзом, уже без домена 30 компов. На следующей недели они придут ломать дальше и подключать всю школу полностью. Из домена вывалятся все машины 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.03.2022, 13:28	7
	VariousW, от адресов провайдера уйти можно легко. ставите на границе между вашей сетью и "криптошлюзом" NAT роутер. на WAN прописываете один из адресов, выданный провайдером и включаете source NAT для сети 192.168.5.0/24 (masquerade) прописываете так же дефолтный шлюз через провайдера. на LAN вешаете адрес из 5 подсети - он же будет шлюзом для клиентов. DHCP сервер можете поднять хоть на роутере, хоть на сервере внутри вашей сети. Клиентам, которые будут ходить через Ростелеком в качестве шлюза надо отдавать LAN IP этого роутера. куда раньше кабель провайдера приходил до установки "криптошлюза"? Сообщение от VariousW Proxy Traffic Inspector - 192.168.5.115 (там же RRAS) при использовании инета от Ростелекома с сертификатами у клиентов можете про все файрволлы забыть, теперь трафик от каждого клиента до провайдера идет шифрованным, транзитные устройства и файрволлы под вашей зоной ответственности его не смогут расшифровать, просмотреть Не по теме: Кстати на TI же можно включить обычный NAT, а не использовать его как прокси 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	18.03.2022, 14:28	8
	Сообщение от insect_87 куда раньше кабель провайдера приходил до установки "криптошлюза"? У нас сейчас пока что система такая, что заходит два провайдера. То что был ранее, как раз весит на роутере Keenetic, он поднимает PPPoE и дальше уже кабель идет до сервера центрального. Ростелеком сейчас поставил криптошлюз и завел туда свой интернет, оттуда уже кинул два кабеля в кабинет 107 и кабинет 112, это кабинеты информатики, там по 15 машин, они сейчас под криптошлюзом. Остальная школа пока что на прокси Traffic Inspector сидит, в нашей школьной доменной сети. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.03.2022, 15:08	9
	ну вот поставьте роутер после "криптошлюза", WAN роутера соедините патчкордом с "криптошлюзом", от LAN - кабеля в кабинеты потом кабелем из LAN порта можно подвязать все это к основному броадкасту в сети 192.168.5.0, но есть и второй более правильный вариант Сообщение от VariousW Остальная школа пока что на прокси Traffic Inspector сидит, в нашей школьной доменной сети. у вас есть в сети DHCP-сервер? если есть, то какие параметры он раздает клиентам (адрес, маска, шлюз и DNS)? как я уже выше говорил, вариантов объединения в одну сеть два: - связать все в один броадкаст, - поделить сеть на VLAN, связать сети через маршрутизацию было бы не плохо, если бы вы предоставили схему сети со всеми устройствами (такую, как она выглядит на данный момент) 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	18.03.2022, 17:17	10
	Сообщение от insect_87 у вас есть в сети DHCP-сервер? Есть. Раздает IP, маску, шлюз, DNS. На следующей недели попробую схему накидать. 0

	21.03.2022, 08:03

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.03.2022, 17:52	11
	Раздает IP, маску, шлюз, DNS. Какая маска, что указано шлюзом, что в кач-ве dns? На чем поднят DHCP сервер? На каком устройстве? У клиентов криптошлюза статические адреса? 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	18.03.2022, 18:38	12
	insect_87, Короче... Стоит железный сервер DELL, на нем вертятся виртуалки виндовые. ADDS01, на нем же DHCP и DNS - 192.168.5.110/255.255.255.0 ADDS02 резервный, на нем же DHCP и DNS - 192.168.5.120/255.255.255.0 Далее виртуалка с Traffic Inspector в которую уже залетает инет от прова (не от ростелекома) она же шлюз 192.168.5.115 она же прописана в DHCP шлюзом У клиентов криптошлюза статика, да. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.03.2022, 19:33	13
	Ну вот и даёте другому роутеру LAN адрес 192.168.5.1, на WAN даёте адрес от РТ и прописываете дефолтный шлюз. Так же выключаете DHCP сервер на роутере. Подключаете один из портов роутера в свитч, и туда же ваш сервер. А клиентам криптошлюза приписываете шлюз 192.168.5.1 и статические адреса вне пула DHCP сервера, dns 5.110 и 5.120. Или делаете на сервере резервирования по Mac для этих клиентов со своим шлюзом Свитчи управляемые есть? 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	18.03.2022, 22:04	14
	Сообщение от insect_87 Свитчи управляемые есть? Нет, управляемых нету 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	18.03.2022, 22:13	15
	Ну тогда вот так, как в 13 посте 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	21.03.2022, 04:04	16
	insect_87, Кстати... Я тут вспомнил. К криптошлюзу подключен КОММУТАТОР ДОСТУПА MES2408CP https://eltex-co.ru/catalog/et... mes2408cp/ я так понял в него заходит кабель от оптики ростелекомоский, а дальше уже он соединен с криптошлюзом. Я так понял это управляемый коммутатор, к которому у меня доступа нету. Блин... понатыкали со своими криптошлюзами... 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	21.03.2022, 07:02	17
	Короче... как смог По части IP адресов криптошлюза, надо уточнять. Но ПК которые сейчас через него работают, имеют адреса из подсети 10.14.179.0/255.255.255.0 Миниатюры 0

@VariousW 0 / 0 / 0 Регистрация: 18.12.2012 Сообщений: 61
	21.03.2022, 07:09	18
	Ой... по моему они маску имеют 255.255.0.0 Надо глянуть после обеда. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.03.2022, 07:35	19
	Я в принципе рассказал всё в 13 посте Пробуйте. Вам нужен ещё один роутер Добавлено через 1 минуту Или вместо кинетика mikrotik 0