Zakładam wątek OGÓLNOPOLSKIEJ SIECI EDUKACYJNEJ budowanej przez państwowy NASK.
Opisano mi konfiguracje w kilku szkołach i włosy się jeżą na głowie.
Blokowania stron można się pozbyć, ale nie to jest głównym grzechem.
Zgodnie z rozmową napisałem przed chwilą wątek ogólny o podwójnym NAT:
https://winforum.pl/Podwojny-NAT-Niebezp...ny_19519-t
Wszystkie konfiguracje w szkołach, które widziałem, miały podwójny NAT. Szkoła miała router, podłączenie do Internetu, zamiast tego starego internetu, podłączano sieć szkolną do OSE, która wystawia swój router i adresy prywatne.
Stare, dziesięcioletnie routery które nie miały nawet portów gigabitowych zatrudniano do NATOWANIA z pełną prędkością łącza, to jest 100 mega. Ich wydajność przy NAT jest dużo mniejsza, więc połączenia wysypywały się w losowych momentach, zwłaszcza w ciągu dnia, gdy ruch wewnątrz sieci szkolnej jest największy. Objaw tego jest taki, że przy przeglądaniu stron internetowych wyświetla się pusta strona, ale można odświeżyć i wtedy strona wyświetla się już normalnie.
Jeśli masz problem z OSE w szkole, sprawdź i usuń podwójny NAT, dopiero potem zajmij się innymi sprawami. Jeśli masz słaby router, wywalenie NAT i ustawienie routingu powinno znacząco poprawić działanie sieci.
Jeśli szkoła używa tylko jednej klasy adresowej, co jest powszechne, to trzeba zbridżować porty w swoim routerze i usunąć serwer DHCP. Poprosić OSE o zmianę adresacji na serwerze DHCP na tą, co szkoła używała do tej pory. Tak jest najszybciej dla admina, oczywiście nie najlepiej i nie najbezpieczniej, ale wierzymy OSE prawda
Ten nat jest na routerze OSE, który jest zainstalowany fizycznie w szkole, więc nie mamy dużego ryzyka dostania się do szkoły "obcych".
Przeniesienie routera szkolnego na router OSE nie stanowi dla szkoły problemu, bo szkołę chroni umowa z OSE. To ostatnie chroni przed włamaniem z wewnątrz. Ludzie oddają poufne informacje w takie miejsca, że w sumie nie jest niebezpiecznie, pytanie czy się wierzy OSE.
Przy publicznym operatorze (innym niż OSE dedykowana umowa dla szkół) firewall po stronie zewnętrznej musi być. Sam NAT bez żadnych reguł jest pewnego rodzaju zabezpieczeniem. Jeśli go likwidujemy, pozwalamy operatorowi routować, to możliwe jest postawienie Transparent Filtering Bridge - Element ukryty. Rejestracja zajmie tylko minutę!. Obciąża on router znacznie mniej niż podwójny NAT.
Jeśli potrzebujemy w szkole VLANy wewnętrzne, to wtedy trzeba aplikować do OSE o adres publiczny IP, ustawić sobie wszystko po ludzku na adresie publicznym.
OSE pozwala administrować switchem Huiawei samemu. Login i hasło jest w dokumentacji. Do switcha dochodzi trunk z kilkoma VLANami od 500 w górę. Jeden z nich to czysty internet bez żadnych biurokracji. W VLANie jest sieć OSE_OPEN, ale ogreniczenie prędkości jest na APeku, więc wzięcie internetu z tego VLANu pozwala na czysty internet bez straty czasu. Oczywiście ten VLAN ustawiamy na jednym porcie dostępowym dla dyrekcji, a nie dla całej sieci, ale to już wg. uznania.
VLAN 500 LAN CERTYFIKAT
Sieć: 192.168.10.0/24
Def gw: 192.168.10.1
Rozdawane adresy od 192.168.10.2 do 192.168.10.254
VLAN 510 OSE_INTERNET CERTYFIKAT
Sieć: 192.168.11.0/24
Def gw 192.168.11.1
rozdawane adresy od 192.168.11.2 do 192.168.11.254
VLAN 550 OSE_OPEN BEZ CERTYFIKATU
Sieć 192.168.15.0/24
Def gw: 192.168.15.1
rozdawane adresy od 192.168.15.2 do 192.168.15.254
Uplinki w switchu to są gotowe trunki OSE. Zwykle jeden przychodzi z routera, a drugi jest wolny.
Najszybciej jest wziąć jakiś switch zarządzalny, ustawić sobie vlan 550 port tunkowy i dostępowy. Trunkowy wpiąć do uplinku OSE, a dostępowy wpiąć do PC i sprawdzić, czy dostaniemy adres z puli 192.168.15.x To jest internet full speed i bez certyfikatu. W ten sposób nie musimy znać ani hasła do switcha, ani zmieniać wewnętrznej konfiguracji - wiadomo jak jest, pokaż kotku co masz w środku, ale puszka Pandory nie chcemy żeby się na nas otworzyła
W swoim czasie OSE zachęcało wręcz do robienia w ten sposób, zgodnie z umową można sobie samemu przenosić switch i APek. Nie łamiemy umowy powyższym działaniem.
Kolega autor wątku poleca każdemu adminowi OSE te dwa webinaria. W pierwszym z nich jest adresacja VLANów, ale można dowiedzieć się z nich o wiele więcej, są schematy sieci i mówią co wolno a czego nie wolno robić z ose.
//Kolejne złożenie w całość
Opisano mi konfiguracje w kilku szkołach i włosy się jeżą na głowie.
Blokowania stron można się pozbyć, ale nie to jest głównym grzechem.
PODWÓJNY NAT i za słaby router
Zgodnie z rozmową napisałem przed chwilą wątek ogólny o podwójnym NAT:
https://winforum.pl/Podwojny-NAT-Niebezp...ny_19519-t
Wszystkie konfiguracje w szkołach, które widziałem, miały podwójny NAT. Szkoła miała router, podłączenie do Internetu, zamiast tego starego internetu, podłączano sieć szkolną do OSE, która wystawia swój router i adresy prywatne.
Stare, dziesięcioletnie routery które nie miały nawet portów gigabitowych zatrudniano do NATOWANIA z pełną prędkością łącza, to jest 100 mega. Ich wydajność przy NAT jest dużo mniejsza, więc połączenia wysypywały się w losowych momentach, zwłaszcza w ciągu dnia, gdy ruch wewnątrz sieci szkolnej jest największy. Objaw tego jest taki, że przy przeglądaniu stron internetowych wyświetla się pusta strona, ale można odświeżyć i wtedy strona wyświetla się już normalnie.
Jeśli masz problem z OSE w szkole, sprawdź i usuń podwójny NAT, dopiero potem zajmij się innymi sprawami. Jeśli masz słaby router, wywalenie NAT i ustawienie routingu powinno znacząco poprawić działanie sieci.
Jak pozbyć się podwójnego NAT
Jeśli szkoła używa tylko jednej klasy adresowej, co jest powszechne, to trzeba zbridżować porty w swoim routerze i usunąć serwer DHCP. Poprosić OSE o zmianę adresacji na serwerze DHCP na tą, co szkoła używała do tej pory. Tak jest najszybciej dla admina, oczywiście nie najlepiej i nie najbezpieczniej, ale wierzymy OSE prawda
Ten nat jest na routerze OSE, który jest zainstalowany fizycznie w szkole, więc nie mamy dużego ryzyka dostania się do szkoły "obcych". Przeniesienie routera szkolnego na router OSE nie stanowi dla szkoły problemu, bo szkołę chroni umowa z OSE. To ostatnie chroni przed włamaniem z wewnątrz. Ludzie oddają poufne informacje w takie miejsca, że w sumie nie jest niebezpiecznie, pytanie czy się wierzy OSE.
Przy publicznym operatorze (innym niż OSE dedykowana umowa dla szkół) firewall po stronie zewnętrznej musi być. Sam NAT bez żadnych reguł jest pewnego rodzaju zabezpieczeniem. Jeśli go likwidujemy, pozwalamy operatorowi routować, to możliwe jest postawienie Transparent Filtering Bridge - Element ukryty. Rejestracja zajmie tylko minutę!. Obciąża on router znacznie mniej niż podwójny NAT.
PUBLICZNY ADRES IP OD OSE
Jeśli potrzebujemy w szkole VLANy wewnętrzne, to wtedy trzeba aplikować do OSE o adres publiczny IP, ustawić sobie wszystko po ludzku na adresie publicznym.
Samodzielne korzystanie ze switcha OSE
OSE pozwala administrować switchem Huiawei samemu. Login i hasło jest w dokumentacji. Do switcha dochodzi trunk z kilkoma VLANami od 500 w górę. Jeden z nich to czysty internet bez żadnych biurokracji. W VLANie jest sieć OSE_OPEN, ale ogreniczenie prędkości jest na APeku, więc wzięcie internetu z tego VLANu pozwala na czysty internet bez straty czasu. Oczywiście ten VLAN ustawiamy na jednym porcie dostępowym dla dyrekcji, a nie dla całej sieci, ale to już wg. uznania.
Numeracja VLANów OSE
VLAN 500 LAN CERTYFIKAT
Sieć: 192.168.10.0/24
Def gw: 192.168.10.1
Rozdawane adresy od 192.168.10.2 do 192.168.10.254
VLAN 510 OSE_INTERNET CERTYFIKAT
Sieć: 192.168.11.0/24
Def gw 192.168.11.1
rozdawane adresy od 192.168.11.2 do 192.168.11.254
VLAN 550 OSE_OPEN BEZ CERTYFIKATU
Sieć 192.168.15.0/24
Def gw: 192.168.15.1
rozdawane adresy od 192.168.15.2 do 192.168.15.254
Intenet bez certyfikatu i bez hasła do switcha
Uplinki w switchu to są gotowe trunki OSE. Zwykle jeden przychodzi z routera, a drugi jest wolny.
Najszybciej jest wziąć jakiś switch zarządzalny, ustawić sobie vlan 550 port tunkowy i dostępowy. Trunkowy wpiąć do uplinku OSE, a dostępowy wpiąć do PC i sprawdzić, czy dostaniemy adres z puli 192.168.15.x To jest internet full speed i bez certyfikatu. W ten sposób nie musimy znać ani hasła do switcha, ani zmieniać wewnętrznej konfiguracji - wiadomo jak jest, pokaż kotku co masz w środku, ale puszka Pandory nie chcemy żeby się na nas otworzyła
W swoim czasie OSE zachęcało wręcz do robienia w ten sposób, zgodnie z umową można sobie samemu przenosić switch i APek. Nie łamiemy umowy powyższym działaniem.
WEBINARIA OSE
Kolega autor wątku poleca każdemu adminowi OSE te dwa webinaria. W pierwszym z nich jest adresacja VLANów, ale można dowiedzieć się z nich o wiele więcej, są schematy sieci i mówią co wolno a czego nie wolno robić z ose.
DLA ADMINÓW - WYŻSZY POZIOM:
DLA POCZĄTKUJĄCYCH - BARDZO DOKŁADNIE OPISANE PODSTAWY SIECI
//Kolejne złożenie w całość
