Рейтинг темы:
  • Голосов: 0 - Средняя оценка: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Криптошлюз от РТК...
(17-02-2022, 15:38)dominusego Писал(а): - Services "all_icmp" and "all_services" in the service group "all_tcpudpicmp" overlap with each other.
- Services "all_services" and "all_tcp" in the service group "all_tcpudpicmp" overlap with each other.
- Services "all_services" and "all_udp" in the service group "all_tcpudpicmp" overlap with each other.

У вас перекрытие правил при применении новой конфигурации. Где-то, как на прикрепленном скриншоте.

(17-02-2022, 15:45)Konstantin Писал(а): ...У кого как вообще работает интернет? отваливается или нет?

Работает. Отваливается. Сегодня с, примерно, 15:00. Вот только недавно "отпустило". При этом пинги/трассировка идут нормально.
100% в РТК что-то "крутят".


Прикрепления Миниатюра(ы)
   
Ответить
(17-02-2022, 16:49)#yarsch078 Писал(а):
(17-02-2022, 15:38)dominusego Писал(а): - Services "all_icmp" and "all_services" in the service group "all_tcpudpicmp" overlap with each other.
- Services "all_services" and "all_tcp" in the service group "all_tcpudpicmp" overlap with each other.
- Services "all_services" and "all_udp" in the service group "all_tcpudpicmp" overlap with each other.

У вас перекрытие правил при применении новой конфигурации. Где-то, как на прикрепленном скриншоте.

(17-02-2022, 15:45)Konstantin Писал(а): ...У кого как вообще работает интернет? отваливается или нет?

Работает. Отваливается. Сегодня с, примерно, 15:00. Вот только недавно "отпустило". При этом пинги/трассировка идут нормально.
100% в РТК что-то "крутят".

Да, с сервисами разобрался. Удалил лишнее. Оставил all_services. Но все равно ничего не работало. И с 16-05 волшебным образом интернет включился по всей сети. Даже ВК работает.
Ответить
Цитата:В принципе, можно все провернуть и не очень затратно. Например, вот таких 3 штуки (по 1 на этаж) - D-LINK EasySmart DGS-1100-24V2 / A1A 24 x RJ45
По одному и L3, сразу с запасом. Только бюджет сразу рассчитать, когда такие гореть начнут, недешевое удовольствие.
Ответить
Здравствуйте.
С этим контрактом беда какая-то...
Примерно со среды прошлой недели интернет сбоит, у нас в шк dfl260e настраивал в выходные числа 5-6 февраля, все пк работали полторы недели без проблем.
Сейчас когда роутер раздает на школу, интернет работает с минуту и отваливается, хотя если 1 компьютер подключить к криптошлюзу напрямую, то проблемы нет.
Отваливается как понимаю под нагрузкой, т.к если в школе никого, роутер раздает интернет нормально.
Подкидывал другой роутер вместо dfl - картина та же.
Да и канал не стабильный просто запустив пинг вижу как раз в мин 5 точно 2-4 пинга не проходят или они под 1000 с 20 скачут
В техподдержке предложили отключить "зонд" и если не поможет, то говорят пробуйте перенести локальную сеть в 10.*.*.*

1) Скажите пожалуйста у кого была такая проблемы? Как решили?
2) Мы прокси уже настроили на каждом пк, т.к. у меня с dfl ничего не вышло, удалось кому-то настроить чтобы не бегать по кабинетам? на будущее)
Если поднять у себя прокси и натравить на родительский так заработает?
3) Я так понимаю белого ip уже не будет и работать с АСИОУ из дома сотрудники уже не смогут, или есть варианты (кроме альтернативного канала)?
4) Какие подводные камни при переводе бухгалтерии? Когда решим проблему с отвалими интернета мне это предстоит.

Спасибо.
Ответить
На большую часть Ваших вопросов уже есть ответы выше в топике.
Про АСИОУ из дома - только через vpn, да и то с особенностями: "отвалы" удаленного доступа каждые, примерно, 5 мин.
Ответить
(22-02-2022, 10:42)Ren_321 Писал(а): Здравствуйте.
С этим контрактом беда какая-то...
Примерно со среды прошлой недели интернет сбоит, у нас в шк dfl260e настраивал в выходные числа 5-6 февраля, все пк работали полторы недели без проблем.
Сейчас когда роутер раздает на школу, интернет работает с минуту и отваливается, хотя если 1 компьютер подключить к криптошлюзу напрямую, то проблемы нет.
Отваливается как понимаю под нагрузкой, т.к если в школе никого, роутер раздает интернет нормально.
Подкидывал другой роутер вместо dfl - картина та же.
Да и канал не стабильный просто запустив пинг вижу как раз в мин 5 точно 2-4 пинга не проходят или они под 1000 с 20 скачут
В техподдержке предложили отключить "зонд" и если не поможет, то говорят пробуйте перенести локальную сеть в 10.*.*.*

1) Скажите пожалуйста у кого была такая проблемы? Как решили?
2) Мы прокси уже настроили на каждом пк, т.к. у меня с dfl ничего не вышло, удалось кому-то настроить чтобы не бегать по кабинетам? на будущее)
Если поднять у себя прокси и натравить на родительский так заработает?
3) Я так понимаю белого ip уже не будет и работать с АСИОУ из дома сотрудники уже не смогут, или есть варианты (кроме альтернативного канала)?
4) Какие подводные камни при переводе бухгалтерии? Когда решим проблему с отвалими интернета мне это предстоит.

Спасибо.

Про отвалы: попросили тут настроить. Структура сети: 2 прокси внутренних (администрация и учителя/ученики), на прокси парент-прокси прописан ЕСПД, DFL800 с тремя каналами внешними. ЕСПД висит на вилане, а не на WAN порту. Настроил, все норм. Прошло несколько дней и началась клиника. 
Пинги на прокси стабильные - претензий нет, но телнет на прокси, порт 3128 - просто таймаут, с разных серверов. При этом один из проксей работает, а второй отваливается. Компы внутри себя ведут неадекватно с прописанным прокси ЕСПД (просто таймаут подключения). При этом пинги (даже большие) идут на ура. Жалко не сохранил картинку доступности прокси. такое ощущение, что просто нарастают ошибки где-то и все.
Куда грешить - не знаю, толи DFL, толи еще где. Подключил паралельно дешевый маршрутизатор, вывел прокси через него в ЕСПД, ситуация тоже странная. Но стало лучше. В итоге послал все это, и вывел прокси напрямую в сеть ЕСПД (это виртуалки, на хост машине по 2 сетевушки, одну просто кинул в ЕСПД и повесил на нее прокси. зато будет возможность администрации отключить фильтрацию).
Мозг взломал себе. Кто глючит - не понятно. Планирую поговорить с ребятами из Длинка. Всетаки больше на него подозрение падает. На другой точке стоит микрот, ЕСПД-прокси прописаны напрямую на компах - проблем пока нет, но там только десяток компов переведено и объем трафика небольшой.
Ответить
Да вот я тоже не пойму, и в тп ничего сказать не могут. У нас то даже проще нет внутренних прокси, роутер просто раздает ip и dns на 2 подсети, прокси и сертификаты уже установлены на пк - все работало полторы недели, и началась свистопляска с прошлой недели.
Отключение "зонда" не повлияло - все так же отваливается интернет. Осталось попробовать только на нормальном роутере, возму старый пк поставлю pfsense, опыт настройки есть (опенвпн на нем работает замечательно, заодно попробую прокси на нем настроить, да и оставлю его пожалуй - старому дфл пора на покой не переваривает он нормально 100Мб входящих, выдает только 70) ну и еще вариант раздавать подсеть ртк 10.*.* .*/24. В тп вчера сказали что возможно банится инет из-за чрезмерных запросов с 1 ip.

(07-02-2022, 14:23)#yarsch078 Писал(а): Синхронизация с Яндекс.Диск'ом работает очень странно: скриншоты синхронизируются нормально, бэкапы (*.7z-архивы) не синхронизируются - ошибка синхронизации.
Удаленный доступ (AA / TeamViewer) "отваливается" примерно через 5 мин. RadminVPN тоже "отваливается" примерно через 5 мин.
AnyDesk у меня не отваливался

Еще вопрос, а бухгалтерию куда вы подключали в лан3 криптошлюза?
В тп говорили, что лан3 во многих регионах не задействован еще и рекомендовали как и всех сажать бухгалтерию на лан2.
Мне еще предстоит переключать их...
Ответить
(22-02-2022, 15:25)Ren_321 Писал(а): Да вот я тоже не пойму, и в тп ничего сказать не могут. У нас то даже проще нет внутренних прокси, роутер просто раздает ip и dns на 2 подсети, прокси и сертификаты уже установлены на пк - все работало полторы недели, и началась свистопляска с прошлой недели.
Отключение "зонда" не повлияло - все так же отваливается интернет. Осталось попробовать только на нормальном роутере, возму старый пк поставлю pfsense, опыт настройки есть (опенвпн на нем работает замечательно, заодно попробую прокси на нем настроить, да и оставлю его пожалуй - старому дфл пора на покой не переваривает он нормально 100Мб входящих, выдает только 70) ну и еще вариант раздавать подсеть ртк 10.*.* .*/24. В тп вчера сказали что возможно банится инет из-за чрезмерных запросов с 1 ip.

(07-02-2022, 14:23)#yarsch078 Писал(а): Синхронизация с Яндекс.Диск'ом работает очень странно: скриншоты синхронизируются нормально, бэкапы (*.7z-архивы) не синхронизируются - ошибка синхронизации.
Удаленный доступ (AA / TeamViewer) "отваливается" примерно через 5 мин. RadminVPN тоже "отваливается" примерно через 5 мин.
AnyDesk у меня не отваливался

Еще вопрос, а бухгалтерию куда вы подключали в лан3 криптошлюза?
В тп говорили, что лан3 во многих регионах не задействован еще и рекомендовали как и всех сажать бухгалтерию на лан2.
Мне еще предстоит переключать их...

Вот про чрезмерные запросы это интересно. Anydesk тоже норм работает вцелом.
Лан3 - типа какая-то внутренняя, закрытая сеть. Предположу, что на ней вообще ничего внешнего не будет работать.
Ответить
Мы все обнулили в прямом смысле. История была та же, через DFL просто перестало работать, так только на 1 минуту что-то появлялось и именно при выключенных ПК в школе. Позвонили в ТП, пришли специалисты. Единственная 100% рабочая схема, это прописать ip-адреса компьютерам. Получается одна большая сеть. Со слов опять же работников Ростелекома, настройки оборудования в «центре» могут меняться постоянно, вероятно криптошлюз не особо дружит (или специально не дружит) с разного рода роутерами и шлюзами. Ну и опять же снятие фильтрации с определенных адресов через школьный Nat делать проблемно. Остальные схемы подключения под ответственность школы. Если пропадёт связь во время нужного мероприятия и ТП не пропингует определённые адреса и ПК, опять же личная ответственность школы (директора).
Бухгалтерию подключал для теста без снятия фильтров, программа «выписки» не загрузилась, УРМ синхронизировался, ЕИС изначально доступна без сертификата и прокси, с сайтом Ладошки проблем нет.
Для эксперимента подключил сетевые проекторы (есть у нас такие, подключение изначально планировалось через сеть, альтернативных кабелей не протянуто) к ЕСПД, работают с минимальной задержкой. Будем загружать Ростелекомовский шлюз видеотрафиком, пусть теперь терпят )
Осталась одна проблема, все ПК видят все ПК, терминал столовой тоже. Как защищать?

Цитата:Лан3 - типа какая-то внутренняя, закрытая сеть. Предположу, что на ней вообще ничего внешнего не будет работать.
По слухам чуть ли не прямая линия с министерством для директора, сказали сразу, что к ней сейчас ничего не подключать.


Цитата:Я так понимаю белого ip уже не будет и работать с АСИОУ из дома сотрудники уже не смогут, или есть варианты (кроме альтернативного канала)?
При переключении школы к ЕСПД альтернативный канал оплачивать возможно тол ко из своего кармана (в прямом смысле слова), а иначе это нецелевое расходование бюджетных средств. Взвешивайте риски. Может ещё и сама АСИОУ доживает последние дни.
Ответить
(22-02-2022, 15:25)Ren_321 Писал(а): ...В тп вчера сказали что возможно банится инет из-за чрезмерных запросов с 1 ip...

Пхе) И это говорит ТП провайдера, прячущего в "серых" зонах за NAT'ом целые регионы! И у которого всего 1 (!) прокси на этот регион.
Да 50-150 компов за NAT'ом никогда не смогут заспамить нормальный шлюз/прокси.

(22-02-2022, 15:25)Ren_321 Писал(а): Еще вопрос, а бухгалтерию куда вы подключали в лан3 криптошлюза?
В тп говорили, что лан3 во многих регионах не задействован еще и рекомендовали как и всех сажать бухгалтерию на лан2.

Бухгалтерию еще предстоит подключить. Собираемся подключить с lan3 криптошлюза на wan2 файрволла. Насчет рекомендаций ТП РТК: они в своем репертуаре.
На страничке "Информация для общеобразовательных организаций по подключению к Интернет в 2022 году" в разделе "Подключение к криптошлюзу" сказано:

Цитата:Lan 3 – настроен на ЕСПД (LAN закрытый сегмент) для передачи защищенной информации типа паспортных данных и т.п.
        Используется только для компьютеров, с которых необходимо передавать персональные данные.
        Компьютеры при этом должны быть в отдельной локальной сети.

Т.е., бухгалтерия вполне подходит под это определение. Никаких запрещающих рекомендаций здесь нет.

(22-02-2022, 16:40)Ruslan Писал(а): ...Предположу, что на ней вообще ничего внешнего не будет работать...

Вот мы и хотим попробовать) В стародавние времена повсеместно процветающего xDSL РТК использовали для "серых" сетей именно такие адреса - 172.*.*.*.

(22-02-2022, 22:01)dominusego Писал(а): ...Ну и опять же снятие фильтрации с определенных адресов через школьный Nat делать проблемно...

Так ясен день, что в сети, подключенной через один ip, они фильтр не могут снять с отдельных локальных адресов. Только с этого конкретного ip, через который ходит эта подсеть.

(22-02-2022, 22:01)dominusego Писал(а): ...Остальные схемы подключения под ответственность школы. Если пропадёт связь во время нужного мероприятия и ТП не пропингует определённые адреса и ПК, опять же личная ответственность школы (директора)...

Это тоже вполне объяснимо. Из опыта работы с провайдером РТК: в любой проблеме виноват клиент. Как бы вы не старались следовать их рекомендациям, все-равно найдут в любых ваших проблемах вашу же вину.

(22-02-2022, 22:01)dominusego Писал(а): ...По слухам чуть ли не прямая линия с министерством для директора, сказали сразу, что к ней сейчас ничего не подключать.

Если бы они это задокументировали, никто бы и не пытался. А так: если не запрещено, то разрешено)

(22-02-2022, 22:01)dominusego Писал(а): ...Может ещё и сама АСИОУ доживает последние дни...

Откуда столько скепсиса?) Ничто не помешает АСИОУ работать в каждой отдельной локальной сети, как и прежде.
Ответить


Переход:


Пользователи просматривают эту тему: 3 Гость(ей)