Рейтинг темы:
  • Голосов: 0 - Средняя оценка: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Криптошлюз от РТК...
#1
Доброго дня, коллеги!
Вопрос не совсем про ViPNet. Хотя косвенно его тоже касается.
Пару дней назад провайдер (РТК) установил на соединение криптошлюз (прокси).
На скриншотах наша сеть до (скриншот 1) и после (скриншот 2) установки прокси.
Как видно из скриншотов, РТК заменил роутер на связку коммутатор+прокси.
Сетевики РТК, чтобы не "сломать" нам инфраструктуру, временно подключили ее мимо прокси прямо в коммутатор, который смотрит в сеть провайдера. Дали настройки для открытого и закрытого сегментов сети, а также адрес и порт прокси.
А теперь, собственно, вопрос: есть ли возможность настроить наш файрволл (DFL-860E) для работы через прокси?

ЗЫ Сетевики предложили, как вариант, настраивать прокси на всех компьютерах в сети. Будет грустно, если это единственное решение(
ЗЗЫ На втором скриншоте были перепутаны названия коммутатора и прокси. Хотя, сути не меняет) Только сейчас увидели. Исправили.


Прикрепления Миниатюра(ы)
       
Ответить
#2
(06-12-2021, 11:17)#yarsch078 Писал(а): Доброго дня, коллеги!
Вопрос не совсем про ViPNet. Хотя косвенно его тоже касается.
Пару дней назад провайдер (РТК) установил на соединение криптошлюз (прокси).
На скриншотах наша сеть до (скриншот 1) и после (скриншот 2) установки прокси.
Как видно из скриншотов, РТК заменил роутер на связку коммутатор+прокси.
Сетевики РТК, чтобы не "сломать" нам инфраструктуру, временно подключили ее мимо прокси прямо в коммутатор, который смотрит в сеть провайдера. Дали настройки для открытого и закрытого сегментов сети, а также адрес и порт прокси.
А теперь, собственно, вопрос: есть ли возможность настроить наш файрволл (DFL-860E) для работы через прокси?

ЗЫ Сетевики предложили, как вариант, настраивать прокси на всех компьютерах в сети. Будет грустно, если это единственное решение(
ЗЗЫ На втором скриншоте были перепутаны названия коммутатора и прокси. Хотя, сути не меняет) Только сейчас увидели. Исправили.

На DFL есть фильтрация http-Трафика. Значит там должен быть прокси. Но как-то все неочевидно  настраивается.
решение-то простое: ставим свой прокси, с него трафик идет на parent-proxy провайдера. Раздаем настройки нашего прокси на клиентов либо через DHCP, либо через групповые политики AD, или на линуксе как-то.
Если есть сервак - можно на нем поднять squid. Ресурсов много не потребует.
Конечно каждый комп грустно настраивать. Они думают, что в школах десяток компьютеров. Фиг там. Пусть попробуют обойти сотню компов, да еще на каждом по несколько учеток пользователей, и когда пользователи то приходят, то увольняются.

У вас два канала в Интернет?
Ответить
#3
Да уж. Нам ещё ящик повесили, там пусто. Зачем он, не сказали.


Цитата:Они думают, что в школах десяток компьютеров.
Ещё и видеонаблюдение в ППЭ для ЕГЭ хитро установлено.
Ответить
#4
(06-12-2021, 21:15)Ruslan Писал(а): ...ставим свой прокси...
...Они думают, что в школах десяток компьютеров...
...У вас два канала в Интернет?

Насчет своего прокси - логичное решение.
Плюсы:
- достаточно "натравить" свой прокси на провайдерский и установить корневой сертификат лишь на нем
- инфраструктура сети не страдает
Минусы:
- один, но большой: еще одно устройство на пути трафика, которое должно работать 24/7 без отказов и перебоев

На самом деле РТК не очень то и заботят проблемы школьных сетей. У них есть гос.заказ за немаленькие деньги, и они наизнанку вывернутся, чтобы его выполнить. Сетевиков, конечно, винить за это не стоит: им приказали - они исполняют. Даже посочувствовали нам во время обсуждения работы нашей сети через их проксю) И даже не переключили сразу, а дали время (по слухам от 3 до 6 месяцев) на обдумывание стратегии.

А в интернет у нас не два канала, конечно. WAN2 файрволла настроен на раздачу интернета в выделенную сеть - кабинет информатики. DFL такое умеет. Он вообще много чего умеет, отчего и становится обидно, что на проксю его "натравить" не получается(
Ответить
#5
(07-12-2021, 07:51)#yarsch078 Писал(а):
(06-12-2021, 21:15)Ruslan Писал(а): ...ставим свой прокси...
...Они думают, что в школах десяток компьютеров...
...У вас два канала в Интернет?

Насчет своего прокси - логичное решение.
Плюсы:
- достаточно "натравить" свой прокси на провайдерский и установить корневой сертификат лишь на нем
- инфраструктура сети не страдает
Минусы:
- один, но большой: еще одно устройство на пути трафика, которое должно работать 24/7 без отказов и перебоев

На самом деле РТК не очень то и заботят проблемы школьных сетей. У них есть гос.заказ за немаленькие деньги, и они наизнанку вывернутся, чтобы его выполнить. Сетевиков, конечно, винить за это не стоит: им приказали - они исполняют. Даже посочувствовали нам во время обсуждения работы нашей сети через их проксю) И даже не переключили сразу, а дали время (по слухам от 3 до 6 месяцев) на обдумывание стратегии.

А в интернет у нас не два канала, конечно. WAN2 файрволла настроен на раздачу интернета в выделенную сеть - кабинет информатики. DFL такое умеет. Он вообще много чего умеет, отчего и становится обидно, что на проксю его "натравить" не получается(

Много чего умеет, но есть гораздно функциональные железки за меньшие деньги. Микротик называется. Самая дешовая железка за 3 тыс. рублей может умопомрачительный функционал. А те, что дороже - в основном мощнее только по железу.

Вобщем, в одном месте для такой задачи попробую именно их. И прокси у них есть встроенный, и парент-прокси можно указать. 

По сертификату - установить можно и свой на прокси, по все равно на клиентах это будет недоверенный сертификат, и придется его прописывать в настройках, чтобы винда не ругалась. А вообще - считаю, что давно надо придумать, чтобы с подмененным сертификатом сайт просто не открывался.  И не важно - доверенный это сертификат или нет. Подмена сертификата - плохой способ фильтрации. Но это все лирика.
Ответить
#6
(07-12-2021, 08:27)Ruslan Писал(а): ...есть гораздно функциональные железки за меньшие деньги...

Что за железка? Может и вправду тогда вообще лучше ею заменить устаревший DFL, если, конечно, удастся реализовать все, что у нас на нем "наверчено") Только плюсы за такие несущественные расходы. Как-то не думали об этом. Спасибо за идею)
Ответить
#7
(07-12-2021, 08:37)#yarsch078 Писал(а):
(07-12-2021, 08:27)Ruslan Писал(а): ...есть гораздно функциональные железки за меньшие деньги...

Что за железка? Может и вправду тогда вообще лучше ею заменить устаревший DFL, если, конечно, удастся реализовать все, что у нас на нем "наверчено") Только плюсы за такие несущественные расходы. Как-то не думали об этом. Спасибо за идею)

за 3 тыс вот: https://www.citilink.ru/product/router-m...i-1079893/
но для вас думаю маловато по мощности.

оптимально https://www.citilink.ru/product/router-m...roperties/
гигабитные порты, каждый порт можно сделать изолированным, 
за последние годы установил несколько десятков подобных железок. несколько штук вышло из строя - но это у всех бывает.

Я пока от DFL не отказываюсь. работает и работает: 2 канала с условной маршрутизацией и впн между двумя зданиями держит. А большего пока не надо.
Ответить
#8
(07-12-2021, 09:25)Ruslan Писал(а): за 3 тыс вот: https://www.citilink.ru/product/router-m...i-1079893/
но для вас думаю маловато по мощности...
...оптимально https://www.citilink.ru/product/router-m...roperties/...
...Я пока от DFL не отказываюсь. работает и работает: 2 канала с условной маршрутизацией и впн между двумя зданиями держит. А большего пока не надо.

Да, RB951UI-2ND со 100-мегабитными портами на сегодняшний день маловато даже для домашнего использования) И дело тут не в ширине провайдерского канала.
RB951G-2HND - это уже интересно. Спасибо, будем изучать, сможет ли он заменить функционал DFL.
У нас, в принципе, не такие уж и запредельные потребности:
- пара раздельных сетей с возможностью настройки доступа к некоторым устройствам (сервер, сетевое хранилище) между сетями
- работа через провайдерский прокси в свете нынешних изменений
Ответить
#9
А такой не подойдёт https://www.citilink.ru/product/router-m...roperties/ ?
Купили для других нужд.


Цитата:Вобщем, в одном месте для такой задачи попробую именно их. И прокси у них есть встроенный, и парент-прокси можно указать. 
Поделитесь потом опытом. Нам вообще никто ни о чем не сказал, просто поставили оборудование и включили.
Ответить
#10
(07-12-2021, 19:35)dominusego Писал(а): А такой не подойдёт https://www.citilink.ru/product/router-m...roperties/ ?
Купили для других нужд.


Цитата:Вобщем, в одном месте для такой задачи попробую именно их. И прокси у них есть встроенный, и парент-прокси можно указать. 
Поделитесь потом опытом. Нам вообще никто ни о чем не сказал, просто поставили оборудование и включили.

Так опыт будет когда подключусь сам. Пока только теория. 
А теория говорит о том, что нужно организовывать свой прокси, хотя бы как просто тупо релей. Можно поднять еще одну виртуалку, если есть сервера. Или на микротике. 
Все, что без прокси работать уже не будет (за редким исключением, випнет 2477 туда засунули, а может и вообще избавимся от випнетов, ведь сеть-то защищенная). А как отчетность в сбисе у бухов будет работать? Не понятно.

А у кого-то через старый интернет был организован впн между двумя зданиями - будет ли работать в новой конфигурации - неизвестно.

Фильтрация трафика наверняка жесткая, никаких ютубов, а учителя просят. И на tor-браузер ютуб косо смотрит (не пускает).

Вобщем, пока мысли только. И непонятные шкафы на стенах, еще никуда не подключенные.

По железке. отзывы неоднозначные, хотя похоже на следующее поколение по железу. Те, что скидывал ранее уже живут лет десять и не обновлялись, но они проверены временем. Возможно, это попытка сделать что-то новенькое. Греются сильно. Поставил две штуки. К одной вопросов нет, ко второй есть (может и не к ней, а провода глючат). Вобщем, пока не испробовал.
Покупать бы не рискнул, но если есть - что же не попробовать. Вполне подойдет. Софт на ней точно такой же.
Ответить


Переход:


Пользователи просматривают эту тему: 1 Гость(ей)