Сообщений в теме: 268

[IskanderMax]

d0ct0rfs (28 Февраль 2015 - 14:18) писал:

Это лечится только портмаппингом. Как как и в каждом проксике.

Забыл дописать в предыдущем посте.
Док, ай нид хэлп! (с) (Брат III)
З.Ы. Ещё через веб-интерфейс порты не хотели добавляться, после нажатия кнопки "сохранить и перезагрузть", вбитые мною настройки исчезали! Пришлось через конфиг вбивать.
З.Ы.Ы. Направте в нужное русло этой натификации или портмаппинга, плиз!

Сообщение отредактировал IskanderMax: 02 Март 2015 - 12:45

[Vik]

iqmaster (28 Февраль 2015 - 14:53) писал:

Док прав. Сделайте переназначение портов в прокси.

Есть ответ в FAQ разработчика:

Вопрос: К-АП соединяется через Прокси. Если не настроен прокси-сервер, АП отключается через минуту, почтовый сервер недоступен.

Ответ: перечень используемых портов протокола TCP/IP между К-АП и Серверов доступа: TCP/4439,4440,4443, UDP/4440. Для передачи зашифрованного трафика между КШ, К-АП и СД используется IP-протокол с номером 250. Если на пути трафика взаимодействующих компонентов комплексов находятся межсетевые экраны, оборудование NAT, прокси сервера и т.п. устройства, то в правилах фильтрации этих устройств необходимо разрешать прохождения пакетов в обоих направлениях по вышеуказанным портам, а в правилах "натирования" необходимо, кроме всего прочего, также учитывать входящие на эти устройства UDP-пакеты (организация входящего NAT).

От себя добавлю. У меня в качестве шлюза стоит легальная Kerio Control (но и на ломанных норм работает). Для нормального доступа К-АП создал всего одно правило: разрешил прохождение UDP пакетов с диапазона портов 7500-7504 (на каждой отдельной машине, на которой поставлен К-АП установлен свой исходящий порт, для разделения потоков трафика и избавления от глюков) на IP-адрес сервера на порт 4433 с обычным NAT (полный конус не нужен). Все. Прекрасно и стабильно работает во всех подразделениях. Плюс задал для этого трафика метку DSCP 40 для указания роутерам провайдера (вроде клянется, что QoS задействовал) приоритетности данных пакетов.

d0ct0rfs (28 Февраль 2015 - 15:31) писал:

Даже представить страшно, что мне пришлось замутить с VPN для раздачи ИБД ИЦ МВД для учреждений ....................

А ну-ка, дружище, поподробнее на этом, тоже актуально.

[d0ct0rfs]

Vik (14 Март 2015 - 22:31) писал:

А ну-ка, дружище, поподробнее на этом, тоже актуально.

Пришлось рожать отдельный шлюз с OpenVpn на NET-БЗДЕ на ней же подымать проксик с авторизацией, третью сетевуху, запихивать в пространство ИЦ ГАИ, мать их перемать, т.к. там сетка рожденная в анальных муках IBM и прикручивать с матюками их крипто проколы.
Слава Богу, что есть пару реальных бубнов из лаплландии и набор заклинаний из Русского мата .............
Но парился неделю, что бы все это подружить.
Особливо перед проверкой ФСТЭК (через неделю).

З.Ы. Оказывается, под виндами, даже без установки freecap можно работать с аналогом бздёвой netsohow.
В виндовом вариаенте даже более информативнее и похрену на права. Проверил на 3.11 и на W2K10.

Искать примерно там
Но там и без этого много чего .....................

[Vik]

d0ct0rfs (15 Март 2015 - 00:32) писал:

Пришлось рожать отдельный шлюз с OpenVpn на NET-БЗДЕ на ней же подымать проксик с авторизацией, третью сетевуху, запихивать в пространство ИЦ ГАИ, мать их перемать, т.к. там сетка рожденная в анальных муках IBM и прикручивать с матюками их крипто проколы.
Слава Богу, что есть пару реальных бубнов из лаплландии и набор заклинаний из Русского мата .............
Но парился неделю, что бы все это подружить.
Особливо перед проверкой ФСТЭК (через неделю).

З.Ы. Оказывается, под виндами, даже без установки freecap можно работать с аналогом бздёвой netsohow.
В виндовом вариаенте даже более информативнее и похрену на права. Проверил на 3.11 и на W2K10.

Искать примерно там
Но там и без этого много чего .....................

Мдаа, но у вас хоть МВДшники на встречу пошли, наши вообще сказали, подключаться не дадим, криптошлюзов аттестованных нет, на себя ответственность никто брать не хочет, хотя я предварительно с Ростелекомом договорился о взаимном туннелировании наших сетей... В итоге решили, что они нам будут давать только сводку (нах никому не нужную) и то по диалапу... Наши опера пару раз ее скачали и оторвали к чертям провода вместе с модемом Вот так у нас закончился план по межведомственному взаимодействию

[d0ct0rfs]

Vik (15 Март 2015 - 00:48) писал:

Мдаа, но у вас хоть МВДшники на встречу пошли, наши вообще сказали, подключаться не дадим, криптошлюзов аттестованных нет, на себя ответственность никто брать не хочет, хотя я предварительно с Ростелекомом договорился о взаимном туннелировании наших сетей... В итоге решили, что они нам будут давать только сводку (нах никому не нужную) и то по диалапу... Наши опера пару раз ее скачали и оторвали к чертям провода вместе с модемом Вот так у нас закончился план по межведомственному взаимодействию

Вообща ноги всей этой бодяги ростут от нас.
еще в 05-году наши это кинули как передовой опыт и т.д.

Нам конечно с ИЦ проще, т.к. я стоял еще в его истоках в бытность работы в МВД, не в коим разе не разварачивал, но просто как опер обеспечивал создание, на тему , где то что украсть, где то отжать, где то порешать.
По этому мне сейчас вопросы по ИЦ решать проще.

У нас на сей момент, есть ПОЛНЫЙ доступ в их БД (на просмотр).
В весь, в т.ч. МВД РФ т.к. БД уже давно не региональна.

Доступ к сводкам, тоже весьма своебразен. Например их не получаем вообще, т.к. просто их считываем с сервера дч ГУВД.
Хотя даже опера об этом не знают. Знают только те , кому это нужно, ну и ГУВД ясен пень.

По работе с БД, могу сказать только одно, у нас сидят УРОДЫ.
32 УИИ - из них подключены к системе всего 5, + 1 СИЗО где от сырости завелся нормальный админ, да и начальник соображает.
В управе с БД работает только спец.отдел и борцуны с л/с. Остальным похрену.
Ни кому, как оказалось, это не нужно. ...

Мне лично, обидно, парился, согласовывал, рожал чего то на ходу и остался в муд@ках ................
"Свисток ушел в пар"(с)

[Uzbek]

Прошу помощи. Как малой кровью и желательно программными средствами отыскать глючный свич? Мало по малу, год за годом обросли все три штаба горой маршрутизаторов, коммутаторов. Уже неделю в одном из штабов глючит сеть. Подозреваю - свич, но сами понимаете нет хуже полу-сломанного аппарата. Уж лучше совсем бы сдох и стало все понятно.
P.S Простите за невежество. Было время пинговал машины с ключом -l повышая число байт сами знаете для чего. Сейчас выше -l 500 - ступор. Мне снилось или все-таки вся сеть глючит?
Спасибо заранее.

[Vik]

Uzbek (31 Март 2015 - 12:58) писал:

Прошу помощи. Как малой кровью и желательно программными средствами отыскать глючный свич? Мало по малу, год за годом обросли все три штаба горой маршрутизаторов, коммутаторов. Уже неделю в одном из штабов глючит сеть. Подозреваю - свич, но сами понимаете нет хуже полу-сломанного аппарата. Уж лучше совсем бы сдох и стало все понятно.
P.S Простите за невежество. Было время пинговал машины с ключом -l повышая число байт сами знаете для чего. Сейчас выше -l 500 - ступор. Мне снилось или все-таки вся сеть глючит?
Спасибо заранее.

Если свичи неуправляемые - хуже нет искать глюкнувший порт. Тоже в одном подразделении долго бились, искаючи. В итоге почти все коммутаторы поменяли на управляемые, ибо нех плодить нищебродские железки домашнего уровня.
Давай по-порядку. Как именно у тебя глючит сеть? Может просто штормит в силу

Цитата

Мало по малу, год за годом обросли все три штаба горой маршрутизаторов, коммутаторов.

?

Может все-таки пришло время запланировать развитие и грамотное перестроение топологии сети, с использованием нормальных управляемых коммутаторов с оптическими транками? Это конечно, утопия, но к ней нужно стремиться.

А по существу: проверяй каждый отдельный коммутатор по отдельности, т.е. отключаешь транковый линк и пингуешь подключенные к нему хосты. Если все нормально, значит идем дальше, проделываем это со следующим свитчем и т.д. Потом проверяем аплинки, т.е. соединяем свитчи между собой и пробуем пинговать хосты, подключенные к соседнему свитчу.
Таким образом плавно локализуем проблему.
Но эта "инструкция" только если реально глючит один из свитчей. Бывает, что кладет сеть и не свитч вовсе, а сетевуха компа, или вирусня, а то и ошибочно воткнутый петлей патчкорд.

В общем это тема очень обширна, и универсальную инструкцию тут не напишешь.

Пиши, звони, чем смогу - помогу.

[iqmaster]

Uzbek (31 Март 2015 - 12:58) писал:

Прошу помощи. Как малой кровью и желательно программными средствами отыскать глючный свич? Мало по малу, год за годом обросли все три штаба горой маршрутизаторов, коммутаторов. Уже неделю в одном из штабов глючит сеть. Подозреваю - свич, но сами понимаете нет хуже полу-сломанного аппарата. Уж лучше совсем бы сдох и стало все понятно.
P.S Простите за невежество. Было время пинговал машины с ключом -l повышая число байт сами знаете для чего. Сейчас выше -l 500 - ступор. Мне снилось или все-таки вся сеть глючит?
Спасибо заранее.

В общем да, только вручную. Тут простых методов нет.

[Uzbek]

Зараза. Очень надеялся что все-таки есть хитрый трюк. В одном здании решили расквартировать психологов и маркетинг. Все делалось на скорую руку и само -собой не до нормального обдуманного построения топологии. Кидали витую пару до маркетинга от них через свич психологам и т.д. Совесть мучала, но после полугода нормальной работы остыл. Теперь не пойму куда глядеть. Поиск свича или порта занимает кучу времени, а маркетинг в наше время без интернета никто. Шеф орет за простой маркетинга, психологи плачут что работа с АКУСом не возможна. В общем жуть. Выходные придется провести на работе видимо.
Был у нас когда-то топорик на форуме, вот что-то подобное у меня. Но там проблема с дневниками ИВР была, а тут пинг идет нормальный, повышаешь до 600 байт и "ответа нет", если с интернетом еще кое-как, работаем, то АКУС работает медленно.

[west94]

Uzbek (31 Март 2015 - 14:18) писал:

Зараза. Очень надеялся что все-таки есть хитрый трюк. В одном здании решили расквартировать психологов и маркетинг. Все делалось на скорую руку и само -собой не до нормального обдуманного построения топологии. Кидали витую пару до маркетинга от них через свич психологам и т.д. Совесть мучала, но после полугода нормальной работы остыл. Теперь не пойму куда глядеть. Поиск свича или порта занимает кучу времени, а маркетинг в наше время без интернета никто. Шеф орет за простой маркетинга, психологи плачут что работа с АКУСом не возможна. В общем жуть. Выходные придется провести на работе видимо.
Был у нас когда-то топорик на форуме, вот что-то подобное у меня. Но там проблема с дневниками ИВР была, а тут пинг идет нормальный, повышаешь до 600 байт и "ответа нет", если с интернетом еще кое-как, работаем, то АКУС работает медленно.

У Меня Была проблема с Дневниками ИВР - когда в сети присутствовало куча коммутаторов, много пота вытекло, много кабеля перетянули - в итоге всю топологию свели на 3 коммутатора. Всё работать стало - Хорошо.
Я это к тому что - да действительно через пот и труд необходимо свести топологию сети на минимум коммутаторов.
Сейчас новых пользователей подключаем даже если АРМ далеко и в неудобном месте - от ближайшего 1 из 3х коммутаторов, всё равно тяну кабель, внутри себя делюсь на 2 части одна говорит (да плюнь ты - поставь 4х портовый хаб и не парся, не тяни отдельно линию: а другая часть говорит "Надо Федя Надо - Тяни из далека")

Сообщение отредактировал west94: 31 Март 2015 - 19:19

[Uzbek]

В общем глючит сеть после обновления Психометрика до версии 8.7. да и психологи сканировали карточки и закидывали в базу без сжатия. База осужденных весит 8.7Гб. В сочетании с АКУСом и его дневниками вешается всё. Решил что работать на самом сервере им будет проще и быстрее. нагрузки на сеть меньши и т.д и т.п.
И вот тут вопрос;
1.Каким образом запретить пользователям просмотр папок/файлов через RDP? То что можно ставить запрет пользователям/группам известно. но папок накопилось много и они часть Спецов, часть психологов, часть воспитателей и т.д и конечно же просмотр одних отделов нежелателен к просмотру другими. Перелопачивать все папки - уйма времени. И как всегда хочется малой кровью.
2. Как спрятать от посторонних глаз определенный диск? (Может спрятать хотя бы своё на диск и скрыть/запретить?)
Имеем Windows server 2008R2
Спасибо.

Сообщение отредактировал Uzbek: 07 Апрель 2015 - 20:48

[Vik]

Uzbek (07 Апрель 2015 - 20:44) писал:

В общем глючит сеть после обновления Психометрика до версии 8.7. да и психологи сканировали карточки и закидывали в базу без сжатия. База осужденных весит 8.7Гб. В сочетании с АКУСом и его дневниками вешается всё. Решил что работать на самом сервере им будет проще и быстрее. нагрузки на сеть меньши и т.д и т.п.
И вот тут вопрос;
1.Каким образом запретить пользователям просмотр папок/файлов через RDP? То что можно ставить запрет пользователям/группам известно. но папок накопилось много и они часть Спецов, часть психологов, часть воспитателей и т.д и конечно же просмотр одних отделов нежелателен к просмотру другими. Перелопачивать все папки - уйма времени. И как всегда хочется малой кровью.
2. Как спрятать от посторонних глаз определенный диск?
Имеем Windows server 2008R2
Спасибо.

Все решается технологией RemoteApp. Клиенты запускают rdp-файлик, и им открывается окно не всего рабочего стола, а только определенного приложения, например АКУС или Психометрик. Вот тут даже целая тема есть по этим вопросам. Если что, звони, пиши, подскажем.

[d0ct0rfs]

Vik (07 Апрель 2015 - 20:51) писал:

Все решается технологией RemoteApp. Клиенты запускают rdp-файлик, и им открывается окно не всего рабочего стола, а только определенного приложения, например АКУС или Психометрик. Вот тут даже целая тема есть по этим вопросам. Если что, звони, пиши, подскажем.

Думаю, что по RemoteApp придется поднимать отдельную, узко направленную тему, т.к. по нему может возникнуть много вопросов.

[Uzbek]

Мда...Признаю, я тормоз тормозов.
Спасибо. Начну изучать.

Сообщение отредактировал Uzbek: 10 Апрель 2015 - 07:46

[Vik]

d0ct0rfs (08 Апрель 2015 - 22:50) писал:

Думаю, что по RemoteApp придется поднимать отдельную, узко направленную тему, т.к. по нему может возникнуть много вопросов.

Док, поверь, там по сравнению с RemoteDestop добавляется всего пару шагов - Публикация удаленных приложений. Там все интуитивно и довольно прозрачно. Выбираешь запускаемый файл (хоть .exe, хоть .bat, хоть .cmd) и публикуешь. Затем в свойствах обзываешь его как тебе нужно, настраиваешь параметры запуска и безопасности и готово.
Затем просто заходишь на http://<ip-адрес_сервера>/RDWeb, авторизуешься и видишь все разрешенные для тебя опубликованные приложения. Это ссылки на .rdp-файлики. Можно либо сразу запускать эти файлики, либо сохранить их и любым способом раздать пользователям. Особенно красиво раздается через политики AD.
Да, потом, конечно, самое трудное, победить инертность мышления (в основном юзверей) и помнить, что хоть окно и выглядит, как будь-то запущено на локальном компе, исполняется-то оно на сервере, соответственно все ресурсы используются сервера. Хотя там сделано очень удобно в том плане, что ресурсы твоего локального компа автоматически подключаются к сеансу и ты свободно можешь сохранить файл не на сервере, а на своем компе, или напечатать документ на своем принтере (он подключается по-умолчанию, при наличии драйверов)