а у меня не получается - отключил второго провайдера, попросил выключить проксю на ноуте с бесфильровым ip - интернета без прокси нет!Abalakovez писал(а): ↑23 мар 2022, 10:53 Если в свойствах браузера не стираешь проксю, компьютер не идет в интернет. Нужно убирать галочку. Получается что мимо.
Микротик и ЕСПД
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Mastit
- Сообщения: 82
- Зарегистрирован: 20 фев 2022, 20:14
-
knyazdonskoy
- Сообщения: 7
- Зарегистрирован: 25 мар 2022, 18:33
Здравствуйте, вот и до меня докатилась эта ЕСПД. Раньше на форумы не писал, но почитал про Ваши и не только мучения и решил поделиться, может кому поможет.
Жил я приспокойно в одной из школ в нашей необъятной по совместительству. Инет от ростелека, pppoe, слабенький, 20 Мбит, вопрос финансирования, ну и компов всего 70. Так как школа сменила старое здание на новенькое, сеть и все что с этим связано пришлось строить с нуля. Техника новая была на тот (2014) год. Сразу было решено ЛВС строить на гигабит с соответствующими коммутаторами, поднимать свой MS AD, DHCP, DNS, файлопоймойку ну и т.д. В итоге на момент прихода ростелекома с ЕСПД (конец 2021) были, 5 сегментов сети (VLAN - основной, серверный, гостевой, видеонаблюдение, комп-класс), файловый сервер, wsus, ksc, openfire, ИКС (в режиме прокси/контент фильтра), удаленное управление всеми компами школу у админа (меня) и учителя информатики как из школы так и из дома (больничный), vpn свой (openvpn), по какой то случайности нам дали белый ип )))) ну и мелкие плюшки. То что все компы по dhcp, и под жесткими политиками AD промолчу. Основной шлюз на ubuntu server, правила полностью скриптом iptables + iproute2.
И пришел ростелеком со своей сетью. Требования: их адресация, основной шлюз, днс, прокси, сертификат, еще хотели DHCP запретить, но не удалось. Сначала был шок, даже выпить пришлось ))) неделю искал решение и таки нашел. Делюсь может кому поможет.
1. Решение с основным шлюзом - поднимаем в ЕСПД интерфейс на нашем роутере с адресом из сети ЕСПД. И на dhcp задаем опцией 249 (121 для XP) маршруты до наших старых сетей на этот адрес. клиентам выдаем основной шлюз какой просят. Ура, связь есть (не забудьте про фаервол на шлюзе). Работает на всех версиях windows.
2. ДНС. Для тех у кого домена нет - указываем в настройках dhcp то что просит ростелек. Для тех у кого домен есть, придется разворачивать (в моем случае виртуалку) дополнительный днс сервер (slave). На него передаем зоны с AD DNS, forward на ДНС ростелека в еспд. Я выбрал BIND9.
3. Прокси. Мое решение, не претендую на идеальность. У меня домен. Добавляем нужные ветки реестра, делаем группу в которую запихиваем компы в еспд, делаем нацеливание GPP, не забываем про исключения наших сетей и домена, и работает )))) Для тех у кого домена нет - можно запилить .reg файл.
4. Сертификат - в домене - GPO, без домена к сожалению ручками.
Ну и раскидываем новую подсеть до компов. У кого L2 управляемые, как у меня - еще один VLAN, у кого нет - в идеале отдельный физический сегмент со своими коммутаторами.
Если нужны параметры реестра для прокси, сообщите, напишу что именно надо прописать.
Ростелек сказал, что вроде как оставит "белый" инет)))
Жил я приспокойно в одной из школ в нашей необъятной по совместительству. Инет от ростелека, pppoe, слабенький, 20 Мбит, вопрос финансирования, ну и компов всего 70. Так как школа сменила старое здание на новенькое, сеть и все что с этим связано пришлось строить с нуля. Техника новая была на тот (2014) год. Сразу было решено ЛВС строить на гигабит с соответствующими коммутаторами, поднимать свой MS AD, DHCP, DNS, файлопоймойку ну и т.д. В итоге на момент прихода ростелекома с ЕСПД (конец 2021) были, 5 сегментов сети (VLAN - основной, серверный, гостевой, видеонаблюдение, комп-класс), файловый сервер, wsus, ksc, openfire, ИКС (в режиме прокси/контент фильтра), удаленное управление всеми компами школу у админа (меня) и учителя информатики как из школы так и из дома (больничный), vpn свой (openvpn), по какой то случайности нам дали белый ип )))) ну и мелкие плюшки. То что все компы по dhcp, и под жесткими политиками AD промолчу. Основной шлюз на ubuntu server, правила полностью скриптом iptables + iproute2.
И пришел ростелеком со своей сетью. Требования: их адресация, основной шлюз, днс, прокси, сертификат, еще хотели DHCP запретить, но не удалось. Сначала был шок, даже выпить пришлось ))) неделю искал решение и таки нашел. Делюсь может кому поможет.
1. Решение с основным шлюзом - поднимаем в ЕСПД интерфейс на нашем роутере с адресом из сети ЕСПД. И на dhcp задаем опцией 249 (121 для XP) маршруты до наших старых сетей на этот адрес. клиентам выдаем основной шлюз какой просят. Ура, связь есть (не забудьте про фаервол на шлюзе). Работает на всех версиях windows.
2. ДНС. Для тех у кого домена нет - указываем в настройках dhcp то что просит ростелек. Для тех у кого домен есть, придется разворачивать (в моем случае виртуалку) дополнительный днс сервер (slave). На него передаем зоны с AD DNS, forward на ДНС ростелека в еспд. Я выбрал BIND9.
3. Прокси. Мое решение, не претендую на идеальность. У меня домен. Добавляем нужные ветки реестра, делаем группу в которую запихиваем компы в еспд, делаем нацеливание GPP, не забываем про исключения наших сетей и домена, и работает )))) Для тех у кого домена нет - можно запилить .reg файл.
4. Сертификат - в домене - GPO, без домена к сожалению ручками.
Ну и раскидываем новую подсеть до компов. У кого L2 управляемые, как у меня - еще один VLAN, у кого нет - в идеале отдельный физический сегмент со своими коммутаторами.
Если нужны параметры реестра для прокси, сообщите, напишу что именно надо прописать.
Ростелек сказал, что вроде как оставит "белый" инет)))
-
knyazdonskoy
- Сообщения: 7
- Зарегистрирован: 25 мар 2022, 18:33
Если "белого" инета нет. Ка понял я, послушав "спецов" ростелеком. На нашем роутере основным шлюзом ставим default шлюз ЕСПД, пишем письмо на адрес (со странички фильтрации), на офф бланке, нужные протоколы, сайты и т.д. (можно попробовать открыть 1-65535 tcp/udp), указываем номера кабинетов (думаю можно указать - серверная) (не ФИО), и вроде как должны открыть. Не забываем про NAT и фаерволл. Но что-то мне подсказывает что со временем эту лавочку прикроют и придется на каждый ИП писать заявку ((((
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Отключение КФ на адресах без прокси работать не будет так как вы не покидаете сегмент ЦЭ. А вам просто включают полное разрешение на прокси по IP адресам.Mastit писал(а): ↑24 мар 2022, 08:37а у меня не получается - отключил второго провайдера, попросил выключить проксю на ноуте с бесфильровым ip - интернета без прокси нет!Abalakovez писал(а): ↑23 мар 2022, 10:53 Если в свойствах браузера не стираешь проксю, компьютер не идет в интернет. Нужно убирать галочку. Получается что мимо.
-
wwn166
- Сообщения: 1
- Зарегистрирован: 25 мар 2022, 20:00
здравствуйте.прочитал ваше сообщение.по настройке микротик для еспд.у меня все аналогично.все прописано -в браузере прокси сервер включен и прописан и в сети до микротика все работает.но и виртуальная школа в том числе. для того чтобы работали планшетники и нетбуки для деток по wifi поставили микротик вот за ним только яндекс открывается.на нетбуке тоже включен прокси сервер и установлен сертификат. а мкротике прописан статический адресюмаска шлюз .туда же полжил ертификат.я так понял у вас еспд по школам подключили раньше а к на докатилось толко чтоюподелитесь как вы вышли из этой ситуации.спасибо
-
DuKle
- Сообщения: 10
- Зарегистрирован: 31 янв 2022, 22:30
Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский asus всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо asus сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский asus всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо asus сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
Последний раз редактировалось DuKle 26 мар 2022, 21:11, всего редактировалось 1 раз.
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
ЕСПД куда приходит? Микротик как настроен?wwn166 писал(а): ↑26 мар 2022, 17:32 здравствуйте.прочитал ваше сообщение.по настройке микротик для еспд.у меня все аналогично.все прописано -в браузере прокси сервер включен и прописан и в сети до микротика все работает.но и виртуальная школа в том числе. для того чтобы работали планшетники и нетбуки для деток по wifi поставили микротик вот за ним только яндекс открывается.на нетбуке тоже включен прокси сервер и установлен сертификат. а мкротике прописан статический адресюмаска шлюз .туда же полжил ертификат.я так понял у вас еспд по школам подключили раньше а к на докатилось толко чтоюподелитесь как вы вышли из этой ситуации.спасибо
а мкротике прописан статический адресюмаска шлюз- какие именно?
Если у вас есть устройство куда входит СПД, то и микротик должен быть настроен на него (то есть он в качестве шлюза, куда входит), то есть не выданные вам РТ настройки.
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Какие текущие настройки микрота? Версия ROS?DuKle писал(а): ↑26 мар 2022, 20:19 Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
-
DuKle
- Сообщения: 10
- Зарегистрирован: 31 янв 2022, 22:30
RouterOS v6.48.6wolodyawggu писал(а): ↑26 мар 2022, 20:24Какие текущие настройки микрота? Версия ROS?DuKle писал(а): ↑26 мар 2022, 20:19 Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
настройки каких разделов нужны?
я честно говоря уже запутался где что перенастраивал. столько вариантов перебрал
была мысль между микротиком и крпитошлюзом поставить комп... но как при этом реализовать часть компов за nat а часть напрямую - не понимаю
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
В терминале Микротика введитеDuKle писал(а): ↑26 мар 2022, 21:08RouterOS v6.48.6wolodyawggu писал(а): ↑26 мар 2022, 20:24Какие текущие настройки микрота? Версия ROS?DuKle писал(а): ↑26 мар 2022, 20:19 Коллеги, доброго времени суток.
У нас в школе всего один провайдер - ростелеком. раньше был их нормальный канал, сейчас долбаный еспд. Нормальный канал выключают. Перемучал микротик вдоль и поперек, но заставить работать связку микротик и еспд не смог. При выполнении всех инструкций на клиентских машинах открываются только сайты умеющие работать по http. Те которые только https - не работают.
Если кто победил такую беду на микротике, (у меня rb4011igs) очень прошу поделится основными параметрами настроек что куда писать.
Техподдержка ЕСПД говорит что можно часть компов спрятать за NAt а часть пустить напрямую к ним, и указать какие айпишники освободить от фильтрации. Но для меня это вообще шаманство какое-то...
Есть мысля что возможно трабл в старой версии router OS, а в новых всё лучше с https....
Прикол в том, что через дешманский tp-link всё работает на ура. Но пускать в сеть школу с 550 компами через asus за 4 тыщи рублей ващще не вариант. Либо всё будет ОЧЕНЬ медленно, либо tp-link сгорит за неделю.... а денег на циску ( школы которым повезло до взлета цен закупиться цисковскими роутерами ващще не парятся) с текущими ценами нам не дадут...
настройки каких разделов нужны?
я честно говоря уже запутался где что перенастраивал. столько вариантов перебрал
была мысль между микротиком и крпитошлюзом поставить комп... но как при этом реализовать часть компов за nat а часть напрямую - не понимаю
Код: Выделить всё
export hide-sensitive