Автоматическая настройка рабочего места под ЕСПД на примере МБОУ Школы № 29 г.о. Самара.

Пожалуйста. Работает ЕСПД в принципе также как и на PPPOE, так как источник(коммутатор доступа от РТ) используется один и тот же. Разница только в фильтрующей трафик железке и наличия самого прокси. На некоторых машинках, прокси может подтупливать, но это как правило из-за слабого железа или неустойчивого соединения(Wi-Fi). Мои замеры показали скорость доступа до 120 мб\с. Так что все индивидуально. Попробуйте напрямую со шлюза с одного компа измерить скорость через speedtest.net.

@@user-ly3rc2xb1j спасибо большое! удачи!

@@user-ly3rc2xb1j еспд работает гораздо хуже и это очевидно. Так как прокси используется https, а не socks.
Голосовые программы работает гораздо медленнее, так как используется tcp-протокол, вместо udp.
Не работает в полной мере система QoS.
SpeedTest не объективен, поскольку не учитывает время на контент-фильтрацию.
К тому же там есть ещё куча недостатков.
И что самое интересное все молчат, как кролики перед удавом застыли и настраивают эту поделку, чего Вы все молчите, не пишите в Министерства, ведь очевидно же что это очередная поделка безграмотных гуманитариев.
Я не согласен с таким положением дел, и уже пишу в МинЦифры, МинОбр, поскольку ЕСПД в текущем виде это больше проблемы для организации, чем нормально работающий доступ к сети.

@@jcdfce2707 Тут в точку. Я с с Вами согласен. Любой Proxy это хуже, чем классический выделенный интернет канал. Я писал выше с точки зрения обычного пользователя в ОУ. У меня в основном пользователи юзают обычный Веб и облака. QoS особо погоды не делает, за исключением голоса конечно это факт. Но в плане сёрфа по WEB, я разницы с каналом PPPOE не увидел. SpeedTest привел в пример лишь для того, чтобы сделать акцент на пропускную способность самой железки(с железом там все в порядке). Мне пришлось в своих ОУ наруливать весь фильтрованный и нефильтрованный трафик через Микротик, чтобы не заниматься ручной работой и то с оговоркой, так как приходится прибегать к некоторым хитростям. Порты на КриптоШлюзе закрыты все, кроме ICMP и 3128, даже 53ий закрыт. Хотя РТ с пеной у рта доказывают, что нужны их DNS, а они в принципе не работают :DD Вот этот факт уже сам по себе говорит о многом(На сколько такой канал хуже, чем классический выделенный) Когда мне впервые довелось узнать про ЕСПД, я сначала порадовался. Думал что поставят шлюзы чисто для фильтрации трафика на ПК для детей, но когда раскрыли весь план, мягко говоря - огорчился! Писать в МинЦифры бесполезно. Слишком огромные средства влиты, назад дороги не будет, там огромный проект по всей России и как я понял пообщавшись с главным Администратором сети ЕСПД - это еще не конец(на базе КриптоШлюза будет реализована куча сервисов). Кстати есть вариант пускать нужный трафик через SSTP на порт 3128 на особые нужды, разделяя основную сеть под ЕСПД с дополнительным каналом на особые нужды(включая любой трафик по udp итд).

Спасибо. Не люблю монотонную, бесполезную работу. Поэтому, если я могу облегчить себе задачу, почему бы не поделиться своими трудами с другими. Вчера переработал скрипты, в описании обновил детали.

Наверное уже не актуально, но если речь идет что после подключения по ЕСПД отвалился web-интерфейс и на регистратор по WEB не попасть, нужно просто IP адреса регистраторов прописать в исключения прокси, чтобы компьютер пропускал эти адреса мимо прокси-сервера, соответственно открывал напрямую.

Можно. Все как обычно, берем роутер - прописываем любой адрес из диапазона на внешний порт который к шлюзу подключается. На внутренний LAN ваш DHCP. Если нужно разделять сети на фильтрованный и нефильтрованной в одном сегменте. Берем еще один роутер, запускаем под адресом который выделен под нефильтрованную сеть(по заявлению через ТП РТ), на нем берем внутренний адрес из диапазона первого роутера по DHCP(какой нибудь из последних например: 192.168.1.254) И компьютерам в этой же сети прописываем шлюз этого роутера и статический ip адрес и какой нибудь статический адрес например 192.168.1.253 и далее по нисходящей 252, 251 итд. Если есть Микротик. Все настраивается через один роутер, любое количество адресов и сетей.

@@user-ly3rc2xb1j большое спасибо за подробный ответ. Этим вопросом я тоже задавался как разделить сеть. Немного не понял как подключать второй роутер, через wan или lan? dhcp мы на втором выходит отключаем и настраиваем компы вручную? И смогут ли два роутера на двух разных ip работать с тем учетом что подтягивать будет второй роутер через первый со статичным ip ? Если несложно свяжитесь со мной ВК ( ссылка на профиль на канале)

@@motan87 Перед КриптоШлюзом нужно будет установить любой самый дешевый свитч, чтобы разделить выходной канал на 2. Получится что от крипто шлюза идет патчкорд в свитч из свитча еще 2 патчкорда 1 патчкорд в роутер №1(фильтрованный в порт WAN) и 2ой патчкорд в роутер №2 (нефильтрованный в порт WAN). Соответственно 1ый роутер получается адрес со шлюза допустим 10.63.XXX.200 . 2ой роутер получает на WAN 10.63.XXX.2. Далее по ситуации. Если сеть разделена на не зависящие друг от друга сегменты, то DHCP можно включить на обоих роутерах. Если же сегменты находятся в одной физической сети(Через один многопортовый коммутатор), то можно на роутере без фильтра выключить DHCP и присвоить IP LAN внутренней сети(например 192.168.0.254) беру адрес той же подсети, чтобы если вдруг работает в одной локалке с шарами, не заморачиваться с маршрутами. По итогу имеем 2 роутера в порты WAN которых патчкордами подключены каналы с криптошлюза, а LAN порты этих роутеров подключены в общий коммутатор. При этой схеме не должно быть кольца, так как порт WAN и LAN отделены(в разных бриджах). Накидаю для Вас схемку, чтобы нагляднее было, напишу в ВК.

@@user-ly3rc2xb1j просто огромное спасибо! Теперь все понятно. Что-то сам не догадался даже о таком. А обязательно ли ставить свич? В крипто шлюзе два порта свободных имеется, третий вводный. Конечно со свичем удобнее так как шкаф с разводкой коммутации находится в другом кабинете, не так где вводный шкаф со шлюзом. И кстати да второй вариант будет удобнее. Так как вся сеть работает на dhcp через коммутаторы. Буду в общем пробовать. Там ещё с этим ЕСПД гемор, не работают VPN для тезиса и vipNet. Связывался с тех поддержкой говорят нужны адреса и порты на которые идёт соединение чтобы в белый список добавили.

@@motan87 Да, есть свободные порты. Это самый первый вопрос который я задал региональному инженеру по всей этой системе. К сожалению эти порты предусмотрены для других сервисов, которые в будущем будут внедряться. Поэтому в данном случае без вариантов, никто не будет эти порты программировать под 2 канала ( В ЕСПД закрыты все порты кроме 3128 и ICMP. Есть вариант с организацией SSTP канала через порт 3128 на внешний сервер, но это тоже своего рода трудности(и костыли), под это нужно хорошее железо иметь. Поэтому если РТ готовы открыть порты для VPN и Тезис и такой вариант предусмотрен - это прекрасно. У меня кстати в некоторых ОУ так же как у Вас, раздающий управляемый свитч находится в другом месте, не рядом со шлюзом. И ничего) 2 витые пары от точки до точки(резерв и основной) нормально уживаются.