Russian Users MikroTik | Форум пользователей MikroTik

iptvv2017 писал(а): ↑27 мар 2022, 20:10 [еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP? Куда обращались? Мне техподдержка по этому вопросу ответа не дает уже 2 недели. Если ставить свою сеть за нет , то не работает ни фильтрация ни HTTPS.

та часть сети которая будет за nat - их совершенно не волнует - у них он все равно одним айпишником светится будет. просто на этот айпи пишется письмо о отключении фильтрации. а вот остальные компы должны быть по статике и с их адресацией
Или наоборот.я сам их не очень понял

iptvv2017 писал(а): ↑27 мар 2022, 20:10 еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP?

чёта я такого от местных не слышал - чё это за прикол такой? чем мотивируют?

iptvv2017 писал(а): ↑27 мар 2022, 20:10 [еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP? Куда обращались? Мне техподдержка по этому вопросу ответа не дает уже 2 недели. Если ставить свою сеть за нет , то не работает ни фильтрация ни HTTPS.

1. На DHCP-сервере все адреса зафиксированы. Показал "ростелеку", что адреса компов меняться не будут, вроде отстали.
2. Если прячемся за NAT. По сути относительно настроек компов ничего не меняется, точно так же придется указывать прокси и ставить сертификат. Но можно попробовать попросить открыть порты (не адреса на прокси), а именно необходимые порты (tcp 80,443 для серфинга вполне хватит), и тогда прокси можно не настраивать. Еще особенность NAT - если я не ошибаюсь, когда настраивается NAT может автоматически добавляться правило фаервола блочить трафик в сторону WAN на адреса частных сетей (10.x.x.x, 192.168.x.x, 172.x.x.x), а прокси как раз в сети 10.x.x.x.

Mastit писал(а): ↑27 мар 2022, 22:59

iptvv2017 писал(а): ↑27 мар 2022, 20:10 еще хотели DHCP запретить // Как вам удалось отбиться от запрета DHCP?

чёта я такого от местных не слышал - чё это за прикол такой? чем мотивируют?

Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит. им видимо сказали, что DHCP адреса рандомно выдает, и соответствено - запретить, но не сказали что DHCP умеет адреса фиксировать. А вот вообще вопрос конечно интересный, а если я компы местами между кабинетами поменяю... Ну я понятно, адреса тоже сменю. А вот в школах где нет админа или он "некомпетентен" и всё делает "ростелеком", писать заявку что бы пришли поменяли... На этот вопрос "ростелеком" промолчал.

У меня своя IP адресация типа 192.168.0.х. Роутер настроен на один выданный айпишник. Просто сейчас чтобы не городить две подсети, потому что придется как то настраивать чтобы компы ходили друг к другу, решил перейти на их айпиадресацию, подсказали в другой теме, чтобы компы все были в одной подсети. Часть пойдет напрямую через свитч, а часть через роутер пущу, пусть DHCP раздает динамические адреса. Те которые без фильтра пропишу статически.

knyazdonskoy писал(а): ↑28 мар 2022, 08:55 Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит.

это адреса, которые без фильтрации? - если так, то их желание (конкретный адрес - конкретный кабинет) логично, но то, как эти адреса в эти кабинеты будут прилетать их не касается, поэтому их хотелки с отменой dhcp идут лесом!

Мотивируют тем, что в акте переписали какой ИП какому кабинету принадлежит.

Вы можете использовать один IP адрес за натом. Внутри какие душа пожелает. Это не их проблемы. И в какие кабинеты вы будете прописывать какие айпишники, это их не касается. Вот с этим вы можете спорить. Выделенные, которые идут мимо фильтра, это скорее да. Они могут что то сказать, хотя, это уже идет в ответственности директора учреждения. От директора есть заявления с указанием фамилии кому принадлежит IP. И это может проверить только прокуратура. Еще один момент, если у школы и росстелекомом заключен договор на обслуживание вашей сети, именно сети, тогда они могут что то вам предъявить. В остальных случаях я думаю нет.

Согласно схеме ЕСПД http://imcluga.ru/wp-content/uploads/20 ... %D0%BC.pdf

Своей адресации не должно быть вообще. Есть два контура - открытый (с которым мы мучаемся) и закрытый (там будут только ГИСы). В открытом контуре все компы школы, кроме тех что для ГИСов (сейчас на них VipNet стоит или у кого что), и у всех ПК статическая адресация (ибо они привязывают ИП - кабинет). И вот для нужных ИП из их сети пишется: кабинет директора - vk, ok.ru ну и т.д. (возможно можно и протоколы с портами) и так для каждого.

Мы можем НАТом спрятаться за какой нить ИП, со своей подсетью и там делать что вздумается, но это "немного" незаконно. К нам пару раз приходили, правда не помню откуда, проверяли контент фильтр, на флешке какая то программулина, которую касперский схавал )))). Она проверяет доступность доменов, ип, а потом эти проверяющие ручками тестировали поисковую выдачу. Но это было когда контент фильтр был свой. Как будут проверять сейчас - не знаю, вдруг ИП сверять будут, а у нас там 192.168...

Так что видимо надо готовиться к выходу из своих сетей, ну если только там видеонаблюдение, скуды, сервера, телевизоры, интерфейсы управления. ПК они точно все дожмут рано или поздно. Они приходят уже с инфой сколько компьютеров стоит на балансе школы, берут они ее у отделов образования.

Вообще идея такой сегментации с точки зрения безопасности и контроля вполне неплоха, во многих гос органах именно так и сделано, но там из-за персональных данных. Только они не учли специфику школы - надо было делать еще один сегмент для администрации и учителей.

Своя айпиадресация не предполагает обход прокси. Поэтому что тут незаконного. Мы все равно работаем через прокси. Хоть что пусть набирают. Фильтр не обойти.

Abalakovez писал(а): ↑28 мар 2022, 12:56 Своя айпиадресация не предполагает обход прокси. Поэтому что тут незаконного. Мы все равно работаем через прокси. Хоть что пусть набирают. Фильтр не обойти.

Фильтр то не обойти, но если мы на этот ИП напишем заявку на открытие всего и вся и будем пускать туда пользователей из своей сети - очень даже обойти, они то будут думать что это, например, компьютер админа, а по факту за ним может быть вообще всё. И кстати палится это очень просто на проксе, так как они увидят кучу user id которые передадут браузеры, и очень подозрительный TTL. Спрятаться полностью поможет только своя прокся (каскадная) с настройками передачи userid и т.д. Ну и фиксация TTL на роутере. И то, думаю если на той стороне стоит что-то, что мониторит трафик, может вылезти аллерт типа "много обращений в секунду".