Микротик и ЕСПД

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
DuKle
Сообщения: 10
Зарегистрирован: 31 янв 2022, 22:30

iptvv2017 писал(а): 27 мар 2022, 20:10 [еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP? Куда обращались? Мне техподдержка по этому вопросу ответа не дает уже 2 недели. Если ставить свою сеть за нет , то не работает ни фильтрация ни HTTPS.
та часть сети которая будет за nat - их совершенно не волнует - у них он все равно одним айпишником светится будет. просто на этот айпи пишется письмо о отключении фильтрации. а вот остальные компы должны быть по статике и с их адресацией
Или наоборот.я сам их не очень понял


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

iptvv2017 писал(а): 27 мар 2022, 20:10 еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP?
чёта я такого от местных не слышал - чё это за прикол такой? чем мотивируют?


knyazdonskoy
Сообщения: 7
Зарегистрирован: 25 мар 2022, 18:33

iptvv2017 писал(а): 27 мар 2022, 20:10 [еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP? Куда обращались? Мне техподдержка по этому вопросу ответа не дает уже 2 недели. Если ставить свою сеть за нет , то не работает ни фильтрация ни HTTPS.
1. На DHCP-сервере все адреса зафиксированы. Показал "ростелеку", что адреса компов меняться не будут, вроде отстали.
2. Если прячемся за NAT. По сути относительно настроек компов ничего не меняется, точно так же придется указывать прокси и ставить сертификат. Но можно попробовать попросить открыть порты (не адреса на прокси), а именно необходимые порты (tcp 80,443 для серфинга вполне хватит), и тогда прокси можно не настраивать. Еще особенность NAT - если я не ошибаюсь, когда настраивается NAT может автоматически добавляться правило фаервола блочить трафик в сторону WAN на адреса частных сетей (10.x.x.x, 192.168.x.x, 172.x.x.x), а прокси как раз в сети 10.x.x.x.


knyazdonskoy
Сообщения: 7
Зарегистрирован: 25 мар 2022, 18:33

Mastit писал(а): 27 мар 2022, 22:59
iptvv2017 писал(а): 27 мар 2022, 20:10 еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP?
чёта я такого от местных не слышал - чё это за прикол такой? чем мотивируют?
Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит. им видимо сказали, что DHCP адреса рандомно выдает, и соответствено - запретить, но не сказали что DHCP умеет адреса фиксировать. А вот вообще вопрос конечно интересный, а если я компы местами между кабинетами поменяю... Ну я понятно, адреса тоже сменю. А вот в школах где нет админа или он "некомпетентен" и всё делает "ростелеком", писать заявку что бы пришли поменяли... На этот вопрос "ростелеком" промолчал.


Abalakovez
Сообщения: 17
Зарегистрирован: 15 мар 2022, 06:34

У меня своя IP адресация типа 192.168.0.х. Роутер настроен на один выданный айпишник. Просто сейчас чтобы не городить две подсети, потому что придется как то настраивать чтобы компы ходили друг к другу, решил перейти на их айпиадресацию, подсказали в другой теме, чтобы компы все были в одной подсети. Часть пойдет напрямую через свитч, а часть через роутер пущу, пусть DHCP раздает динамические адреса. Те которые без фильтра пропишу статически.
Последний раз редактировалось Abalakovez 28 мар 2022, 09:11, всего редактировалось 1 раз.


Mastit
Сообщения: 82
Зарегистрирован: 20 фев 2022, 20:14

knyazdonskoy писал(а): 28 мар 2022, 08:55 Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит.
это адреса, которые без фильтрации? - если так, то их желание (конкретный адрес - конкретный кабинет) логично, но то, как эти адреса в эти кабинеты будут прилетать их не касается, поэтому их хотелки с отменой dhcp идут лесом!


Abalakovez
Сообщения: 17
Зарегистрирован: 15 мар 2022, 06:34

Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит.
Вы можете использовать один IP адрес за натом. Внутри какие душа пожелает. Это не их проблемы. И в какие кабинеты вы будете прописывать какие айпишники, это их не касается. Вот с этим вы можете спорить. Выделенные, которые идут мимо фильтра, это скорее да. Они могут что то сказать, хотя, это уже идет в ответственности директора учреждения. От директора есть заявления с указанием фамилии кому принадлежит IP. И это может проверить только прокуратура. Еще один момент, если у школы и росстелекомом заключен договор на обслуживание вашей сети, именно сети, тогда они могут что то вам предъявить. В остальных случаях я думаю нет.


knyazdonskoy
Сообщения: 7
Зарегистрирован: 25 мар 2022, 18:33

Согласно схеме ЕСПД http://imcluga.ru/wp-content/uploads/20 ... %D0%BC.pdf

Своей адресации не должно быть вообще. Есть два контура - открытый (с которым мы мучаемся) и закрытый (там будут только ГИСы). В открытом контуре все компы школы, кроме тех что для ГИСов (сейчас на них VipNet стоит или у кого что), и у всех ПК статическая адресация (ибо они привязывают ИП - кабинет). И вот для нужных ИП из их сети пишется: кабинет директора - vk, ok.ru ну и т.д. (возможно можно и протоколы с портами) и так для каждого.

Мы можем НАТом спрятаться за какой нить ИП, со своей подсетью и там делать что вздумается, но это "немного" незаконно. К нам пару раз приходили, правда не помню откуда, проверяли контент фильтр, на флешке какая то программулина, которую касперский схавал )))). Она проверяет доступность доменов, ип, а потом эти проверяющие ручками тестировали поисковую выдачу. Но это было когда контент фильтр был свой. Как будут проверять сейчас - не знаю, вдруг ИП сверять будут, а у нас там 192.168...

Так что видимо надо готовиться к выходу из своих сетей, ну если только там видеонаблюдение, скуды, сервера, телевизоры, интерфейсы управления. ПК они точно все дожмут рано или поздно. Они приходят уже с инфой сколько компьютеров стоит на балансе школы, берут они ее у отделов образования.

Вообще идея такой сегментации с точки зрения безопасности и контроля вполне неплоха, во многих гос органах именно так и сделано, но там из-за персональных данных. Только они не учли специфику школы - надо было делать еще один сегмент для администрации и учителей.


Abalakovez
Сообщения: 17
Зарегистрирован: 15 мар 2022, 06:34

Своя айпиадресация не предполагает обход прокси. Поэтому что тут незаконного. Мы все равно работаем через прокси. Хоть что пусть набирают. Фильтр не обойти.


knyazdonskoy
Сообщения: 7
Зарегистрирован: 25 мар 2022, 18:33

Abalakovez писал(а): 28 мар 2022, 12:56 Своя айпиадресация не предполагает обход прокси. Поэтому что тут незаконного. Мы все равно работаем через прокси. Хоть что пусть набирают. Фильтр не обойти.
Фильтр то не обойти, но если мы на этот ИП напишем заявку на открытие всего и вся и будем пускать туда пользователей из своей сети - очень даже обойти, они то будут думать что это, например, компьютер админа, а по факту за ним может быть вообще всё. И кстати палится это очень просто на проксе, так как они увидят кучу user id которые передадут браузеры, и очень подозрительный TTL. Спрятаться полностью поможет только своя прокся (каскадная) с настройками передачи userid и т.д. Ну и фиксация TTL на роутере. И то, думаю если на той стороне стоит что-то, что мониторит трафик, может вылезти аллерт типа "много обращений в секунду".


Ответить