Приветствую авантюрист. После выпуска материала ( https://dzen.ru/a/Ym2aKJjxJT9U6pwz?share_to=link ) мне довольно много писали с просьбой помочь в настройке ЕСПД от Ростелеком (видимо надежды на сотрудников Ростелекома у людей мало) и даже сделать некую инструкцию или мануал. Ну что ж, как говорится, если есть спрос то будет и предложение. Итак, сегодня я по подробнее расскажу о том, что такое ЕСПД от Ростелеком и попробую сделать некую инструкцию как его настроить в твоей организации.
ЕСПД что это?
ЕСПД или единая система передачи данных от Ростелеком. Нужно понять что это такое. Ну попробуем действовать логически и поищем информацию на сайте самого Ростелекома. Через гугл находим целый пласт сайта посвященный ЕСПД: https://espd.wifi.rt.ru Но, полазив по сайту, я не нашел вообще никакого описания проекта, целей, задач и т.д. На сайте есть несколько инструкций, неработающий раздел техподдержки, есть некий файл для проверки качества интернета ну и все. К слову файл для проверки качества имеет расширение .exe, учитывая то, что госучреждения уже почти пол года как не имеют права использовать продукцию от Microsoft файл этот... для кого? Для законопослушных организаций которые уже перешли полностью на Linux это... подло.
Ну да ладно черт с ними с целями да задачами, что я в самом деле как душнила какой-то. Главное, что ты должен знать, авантюрист, это что для госучреждений ЕСПД:
- Бесплатен;
- БЕЗОПАСЕН;
- Траффик фильтруется;
- Фильтрацию можно частично отключить;
- Безопасность на высшем уровне;
- Скорость от 100 Мб/с;
- Нет возможности пробросить хоть какие-то порты, забудь про собственные веб-сервера, почтовые сервера, FTP и т.д., так как это НЕ БЕЗОПАСНО;
- Прослушивание даже HTTPS трафика для наивысшей БЕЗОПАСНОСТИ.
В общем, это бесплатный, быстрый, вполне надежный, самый БЕЗОПАСНЫЙ интернет канал для госучреждений, который отлично подойдет для 99% задач. И я не буду лукавить, не смотря на мою иронию, это действительно круто.
Настройка ЕСПД. Общие сведения
Итак, Ростелеком нам выдает следующие инструкции. Для подключения к ЕСПД тебе необходимо всем компьютерам твоей сети назначить ip адреса из сети 10.X.47.0 с маской 24 или 255.255.255.0, где X - это ваш регион. К примеру для Мурманской области - 10.51.47.0. Для Республики Марий Эл - 10.12.47.0. Затем прописать шлюз 10.X.47.1. Прописать в системе прокси 10.0.X.52 с портом 3128. А так же указать следующие ДНС сервера 95.167.167.95 и 95.167.167.96. У тебя ДНС могут и скорее всего будут отличатся от моих. Как итог упрощенная схема выглядит примерно так.
Ну и в конце вам необходимо установить корневой сертификат от Ростелеком для того, чтобы провайдер мог читать все, что вы пишите и передаете, само собой, для супер БЕЗОПАСНОСТИ.
Настройка ЕСПД. Windows
Если у вас компьютеры под управлением Windows, то вот пример окна настроек клиента 1 для моего региона.
Для настройки прокси в Windows вам нужно зайти в старую панель управления, далее «центр управления сетями и общим доступом», потом «браузер», там вкладка «подключение» и снизу «настройка сети». Для настроек IP зайти в старую панель управления, далее «центр управления сетями и общим доступом», затем «изменение параметров адаптера» и в нужном сетевом интерфейсе зайти в свойства и выбрать «протокол IPv4». Для установки корневого сертификата от Ростелеком нужно просто кликнуть по нему 2 раза. Самое главное установить его нужно именно в «Доверительные корневые центры сертификации» иначе вы не получите фантастическую БЕЗОПАСНОСТЬ.
Настройка ЕСПД. Linux
Для операционных систем Linux вы можете воспользоваться любым удобным для вас способом, в разных оболочках свои инструменты. Вот так выглядят настройки сети в оболочке KDE.
Для того, чтобы задать прокси нужно ввести команды:
export http_proxy="http://10.0.52.51:3128"
export https_proxy="https://10.0.52.51:3128"
А можно также воспользоваться графическими элементами. Вот например KDE:
Для установки сертификата, который даст нам космическую безопасность, необходимо вручную создать каталог сертификатов и добавить в систему сертификаты командой sudo update-ca-certificates. Сертификат придется для начала конвертировать из cer в crt. Довольно хорошо об этом написано вот тут https://www.comss.ru/page.php?id=10973 К слову, некоторые оболочки так же работают с сертификатами по клику, как в случае с Windows.
Ну и аналогично тебе придется настроить абсолютно ВСЕ клиенты в твоей сети. Обрати внимание, что маска типа C располагает лишь к 255 свободным ip адресам. Если у тебя клиентов, которым нужны ip адреса, больше, как в моем случае, то такая схема не подойдет. Тебе не хватит адресов. Ну и само собой выдачу ip адресов, шлюза и DNS логичнее сделать через DHCP.
Настройка ЕСПД вариант по удобнее, но по сложнее
Что же делать, если нам, к примеру, нужно больше 255 ip адресов? Правильно! настроить маршрутизацию, добавив в сеть собственный шлюз. Как настроить шлюз на Linux мы обязательно поговорим, а пока приведу хороший, на мой взгляд, материал о том, как это сделать( https://howitmake.ru/blog/ubuntu/86.html ). У шлюза будет 2 сетевых интерфейса (шлюзом может выступать как обычный роутер, так и компьютер с двумя сетевыми (не обязательно физическими) картами). Первый интерфейс настраивается «в сторону провайдера», второй «в сторону вашей сети». Интерфейс, который смотрит в «сторону провайдера» настраивается строго так как вам говорит провайдер (см. предыдущие разделы). Интерфейс же, смотрящий в вашу сеть, вы уже вправе настраивать как вам угодно. Как правило, используется диапазон немаршрутизируемых адресов 192.168.X.X с маской 255.255.0.0 К примеру, ip твоего шлюза 192.168.0.1, а адреса клиентов 192.168.0.2 и 192.168.0.3 соответственно. В итоге данные от клиента идут на свич, свич направляет их на шлюз, шлюз, видя что данные не предназначены для внутренней сети, отправляет их на устройство провайдера, ну, а тот в свою очередь маршрутизирует все это в глобальную сеть.
В клиенты мы так же ставим сертификат, иначе не будет галактический безопасности, и также прописываем прокси.
Возможные проблемы
В качестве диагностики пингуй с клиентов адреса прокси и шлюзов ( ваш и ЕСПД ).
ping 10.0.51.52
ping 192.168.0.1
ping 10.51.47.1
Если пакеты идут до адреса ЕСПД прокси,то значит на низком уровне ты все сделал верно. Можно проверить интернет, открыв какую-либо страницу в браузере. Если пакеты идут до твоего шлюза, но не идут до шлюза ЕСПД, то ты неверно настроили свой шлюз. Если пинги идут до прокси, но интернета нет, то ты неверно прописал настройки прокси либо неверно установил корневой сертификат.
Настройка ЕСПД вариант по сложнее.
Есть вариант как можно сильно упростить работу с ЕСПД. Вместо шлюза мы ставим и настраиваем SQUID. Как это сделать статья вот тут (https://dzen.ru/a/Ym2aKJjxJT9U6pwz). В итоге мы сможем получить 2 варианта в зависимости от потребности. Если нам вообще не нужна фильтрация мы можем обойтись вообще без сертификатов и проксей: всунули провод и все работает. И второй вариант с фильтрацией, но там все же придется поставить сертификат на клиенты. Можно настроить оба варианта и просто переключать клиентов через те же политики GPO, например, в школе детей пустить через фильтрующий SQUID дабы была вселенской безопасность, а администрацию через не фильтрующий. У меня, например, настроена именно такая схема.
Авантюрист, как обычно жду тебя в комментариях, предложения просьбы и критика. Я рад любой твоей активности. Удачи!
Оригинал: https://vk.com/@easy_linux-nastroika-espd-ot-rostelekom