0 / 0 / 0
Регистрация: 16.03.2022
Сообщений: 3
|
|
1 | |
Подключение криптошлюза ростелеком через микротик16.03.2022, 08:57. Показов 8076. Ответов 37
Здравствуйте!
Я начинающий системный администратор, работаю в школе. На данный момент сеть подключена через микротик. Столкнулся с такой проблемой: нам поставили криптошлюз от Ростелекома, дали ip, маску, прокси, порт и сертификат для компьютеров. Сказали, что необходимо поменять ip компов, установить сертификат и настроить прокси на каждом компе. С настройкой ip, вроде, всё понятно. Вопрос в следующем, возможно ли установить сертификат и прописать прокси каким либо образом, чтобы не пришлось бегать к каждому компьютеру (их около 200)? Если да, то как это можно реализовать?
0
|
16.03.2022, 08:57 | |
Ответы с готовыми решениями:
37
Подключение по ptpp Ростелеком (проблема) Лагает подключение через wi-fi (Ростелеком) подключение к общественной сети Ростелеком Подключение к микротик |
4001 / 1580 / 310
Регистрация: 23.06.2009
Сообщений: 5,610
|
|
16.03.2022, 09:09 | 2 |
если есть AD, то его средствами, если нет, бегать.
есть еще вариант установить где-нить сквид в прозрачном режиме, подкинуть туда сертификат, и завернуть трафик на прокси, в настройках прокси парентом указать прокси ростелекома, не знаю заработает такая схема или нет, по идее должна, хоть бери и собирай стенд...
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
16.03.2022, 09:50 | 3 |
именно только с одним mikrotik - не прокатит.
нужна железка, которая сама может выступать в качестве прозрачного https proxy и при этом на этой железке указать parent proxy - прокси провайдера. - я как-то хотел это поднять, но потом плюнул. и поставил сертификаты вручную на каждую машину, благо их и 30 не было
0
|
4001 / 1580 / 310
Регистрация: 23.06.2009
Сообщений: 5,610
|
|
16.03.2022, 10:15 | 4 |
в качестве "железки" подойдет любой ПК, с виртуалкой и fscence или openwrt на борту и управлять удобно через web
0
|
0 / 0 / 0
Регистрация: 16.03.2022
Сообщений: 3
|
|
16.03.2022, 11:17 [ТС] | 5 |
Спасибо, буду разбираться. Скорее всего действительно попробую поставить всё через AD.
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
18.03.2022, 09:43 | 6 |
У нас тоже этот долбанный криптошлюз поставили. Стоит сейчас сервер с AD в подсети 192.168.5.0, а пул адресов от криптошлюза вообще другой. Я вот сейчас пытаюсь понять, как сделать так, чтобы машины не потеряли связь с доменом. Если указать адреса из подсети криптошлюза, то машины потеряют домен. Я думаю, как то маршрутизацию можно организовать? Сейчас у меня стоит роутер в который заходит провайдер (не ростелеком), дальше с роутера идет шнурок в сам сервер железный, адреса там такие
AD1 - 192.168.5.110 AD2 - 192.168.5.120 Proxy Traffic Inspector - 192.168.5.115 (там же RRAS) KSC - 192.168.5.130 Короче, пришел Ростелеком и все сломал. Сейчас пока что только 2 кабинета информатики под криптошлюзом, уже без домена 30 компов. На следующей недели они придут ломать дальше и подключать всю школу полностью. Из домена вывалятся все машины
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
18.03.2022, 13:28 | 7 |
VariousW, от адресов провайдера уйти можно легко.
ставите на границе между вашей сетью и "криптошлюзом" NAT роутер. на WAN прописываете один из адресов, выданный провайдером и включаете source NAT для сети 192.168.5.0/24 (masquerade) прописываете так же дефолтный шлюз через провайдера. на LAN вешаете адрес из 5 подсети - он же будет шлюзом для клиентов. DHCP сервер можете поднять хоть на роутере, хоть на сервере внутри вашей сети. Клиентам, которые будут ходить через Ростелеком в качестве шлюза надо отдавать LAN IP этого роутера. куда раньше кабель провайдера приходил до установки "криптошлюза"? при использовании инета от Ростелекома с сертификатами у клиентов можете про все файрволлы забыть, теперь трафик от каждого клиента до провайдера идет шифрованным, транзитные устройства и файрволлы под вашей зоной ответственности его не смогут расшифровать, просмотреть Не по теме:
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
18.03.2022, 14:28 | 8 |
У нас сейчас пока что система такая, что заходит два провайдера. То что был ранее, как раз весит на роутере Keenetic, он поднимает PPPoE и дальше уже кабель идет до сервера центрального. Ростелеком сейчас поставил криптошлюз и завел туда свой интернет, оттуда уже кинул два кабеля в кабинет 107 и кабинет 112, это кабинеты информатики, там по 15 машин, они сейчас под криптошлюзом. Остальная школа пока что на прокси Traffic Inspector сидит, в нашей школьной доменной сети.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
18.03.2022, 15:08 | 9 |
ну вот поставьте роутер после "криптошлюза", WAN роутера соедините патчкордом с "криптошлюзом", от LAN - кабеля в кабинеты
потом кабелем из LAN порта можно подвязать все это к основному броадкасту в сети 192.168.5.0, но есть и второй более правильный вариант у вас есть в сети DHCP-сервер? если есть, то какие параметры он раздает клиентам (адрес, маска, шлюз и DNS)? как я уже выше говорил, вариантов объединения в одну сеть два: - связать все в один броадкаст, - поделить сеть на VLAN, связать сети через маршрутизацию было бы не плохо, если бы вы предоставили схему сети со всеми устройствами (такую, как она выглядит на данный момент)
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
18.03.2022, 17:17 | 10 |
Есть. Раздает IP, маску, шлюз, DNS.
На следующей недели попробую схему накидать.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
18.03.2022, 17:52 | 11 |
На чем поднят DHCP сервер? На каком устройстве? У клиентов криптошлюза статические адреса?
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
18.03.2022, 18:38 | 12 |
insect_87, Короче... Стоит железный сервер DELL, на нем вертятся виртуалки виндовые.
ADDS01, на нем же DHCP и DNS - 192.168.5.110/255.255.255.0 ADDS02 резервный, на нем же DHCP и DNS - 192.168.5.120/255.255.255.0 Далее виртуалка с Traffic Inspector в которую уже залетает инет от прова (не от ростелекома) она же шлюз 192.168.5.115 она же прописана в DHCP шлюзом У клиентов криптошлюза статика, да.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
18.03.2022, 19:33 | 13 |
Ну вот и даёте другому роутеру LAN адрес 192.168.5.1, на WAN даёте адрес от РТ и прописываете дефолтный шлюз. Так же выключаете DHCP сервер на роутере.
Подключаете один из портов роутера в свитч, и туда же ваш сервер. А клиентам криптошлюза приписываете шлюз 192.168.5.1 и статические адреса вне пула DHCP сервера, dns 5.110 и 5.120. Или делаете на сервере резервирования по Mac для этих клиентов со своим шлюзом Свитчи управляемые есть?
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
18.03.2022, 22:04 | 14 |
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
18.03.2022, 22:13 | 15 |
Ну тогда вот так, как в 13 посте
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
21.03.2022, 04:04 | 16 |
insect_87, Кстати... Я тут вспомнил. К криптошлюзу подключен КОММУТАТОР ДОСТУПА MES2408CP
https://eltex-co.ru/catalog/et... mes2408cp/ я так понял в него заходит кабель от оптики ростелекомоский, а дальше уже он соединен с криптошлюзом. Я так понял это управляемый коммутатор, к которому у меня доступа нету. Блин... понатыкали со своими криптошлюзами...
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
21.03.2022, 07:02 | 17 |
Короче... как смог
По части IP адресов криптошлюза, надо уточнять. Но ПК которые сейчас через него работают, имеют адреса из подсети 10.14.179.0/255.255.255.0
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
21.03.2022, 07:09 | 18 |
Ой... по моему они маску имеют 255.255.0.0
Надо глянуть после обеда.
0
|
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
21.03.2022, 07:35 | 19 |
Я в принципе рассказал всё в 13 посте
Пробуйте. Вам нужен ещё один роутер Добавлено через 1 минуту Или вместо кинетика mikrotik
0
|
0 / 0 / 0
Регистрация: 18.12.2012
Сообщений: 61
|
|
21.03.2022, 08:03 | 20 |
insect_87, ну кинетик освободится, после отключения провайдера. Есть ещё один старенький кинетик. На микротик сейчас никто не даст денег. Свой старый микрот hAP lite конечно можно притащить. Подумаю
0
|
21.03.2022, 08:03 | |
21.03.2022, 08:03 | |
Помогаю со студенческими работами здесь
20
Нужно мониторить заббиксом подключение pppoe микротик VPN микротик to микротик + клиенты windows Электронная почта на смартфон через микротик Микротик не раздает интернет через WiFi Не могу подключится к РДП через Микротик Не проходит обращение по rdp через микротик Запретить ipv6 через ipv4 на Микротик Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |