Привет, Хабр!

Написать статью подтолкнул комплекс проблем.

Проблема №1. В настоящее время перед первым использованием свежеустановленную ОС, программу, прошивку устройства настоятельно рекомендуется обновить или активировать в интернете, в большинстве случаев эти рекомендации невозможно проигнорировать, устройство попросту не заработает, пока не обновишь/активируешь.

Проблема №2. Большинство устройств и софта требуют стабильный, быстрый интернет с минимальным пингом и задержками, без прокси и ограничений. При использовании прокси некоторый софт (пример 1, пример 2) не может обновиться. Ему нужен интернет без прокси и обязательно шустрый или софт исчерпает таймаут на подключение к серверу обновлений.

Проблема №3. Такая же беда есть с проведением вебинаров, видео/аудио потоки стабильно работают только при прямом доступе в интернет, без прокси.

Техподдержка софта и вебинаров об этом знают, в FAQ и в общении предупреждают, что нужен "нормальный" интернет.

Ещё пример тут, обратим внимание на первую и четвёртую рекомендации.

Сразу же первая рекомендация (Скриншот 1):

Используйте последнюю версию рекомендуемых браузеров.

Скриншот 1 с сайта.
Скриншот 1 с сайта.

Разве её проигнорируешь? Хорошо, не игнорируем, обновим браузер, к счастью ещё обновляются через прокси.

Четвёртая рекомендация уже жёсткая (Скриншот 2):

4. Если возникают проблемы со звуком/видео и вы находитесь на рабочем месте:
Отключите корпоративный VPN/proxy. Если это невозможно, подключитесь к вебинару (из письма-приглашения или по ссылке) через мобильное приложение Webinar.

Скриншот 2 с сайта.
Скриншот 2 с сайта.

Прокси невозможно отключить, у нас интернет раздаётся только через прокси и строго по учёткам (Схема 1).

Проблема №4. Кроме таких случаев, встречались некоторые ОС и софт, они при установке/активации не предоставляют возможность прописать прокси. Доступны настройки, связанные только с IP-адресом, маской, шлюзом и ДНС на сетевой карте.

В учреждении (Схема 1) интернет не раздаётся на динамических или статических IP, как на домашних роутерах дома, все выходят в интернет по учёткам через прокси. Больше нет других способов выйти в интернет. Прокси логин и учётку берёт из Active Directory (на схеме не отображено).

Схема 1 - Локальная сеть.
Схема 1 - Локальная сеть.

Проблема №5. Что получается тогда? Необходимо предоставить техперсоналу ИТ доступ в интернет по учётке без прокси для обновления ОС и софта, но с этим тоже вопрос:

  • какая железка или софт это умеет?

  • по какой технологии реализовать? По PPPoE, L2TP?

  • напрячься и поднять RADIUS-сервер и подружить со шлюзом, но с каким?

  • есть смысл дальше работать с Active Directory и Windows, если его разработчик ушёл из России и парк рабочих ПК массово переходит на Linux и Астра Линукс?

  • есть ли шлюзы, которые умеют в себе хранить базу учёток? Или в любом случае нужен выделенный сервер для работы с базой учёток?

Проблема №6. Раньше был PPPoE-сервер на железке Cisco с выделенным физическим RADIUS-сервером. Техперсонал создавал PPPoE-подключение, вводили свой логин и пароль и выходили в интернет. По завершении всех работ удаляли подключение, чтобы пользователи/обучающиеся не вышли в интернет по чужому логину, если кто-то из техперсонала случайно сохранит пароль в созданном подключении.

Это было неудобно и подключение забывали удалить. Так работали годами до тех пор, пока провайдер не сменился, а с ним поменялись и ключевые настройки интернета. Админ, настраивавший PPPoE и RADIUS-серверы уволился, поэтому некому было внести новые интернет-настройки в шлюз. Вдобавок, руководство хотело списать железку Cisco, как устаревшую модель. Модель вроде 2811.

В общем, PPPoE-сервер больше не существовал в учреждении, поэтому его на схеме 1 нет. В кратчайшие сроки для поддержания работоспособности парка ИТ техперсоналу была предложена альтернатива - проставлять выделенный статический IP с разрешённым выходом в интернет. Это оказалось небезопасным, статическим IP любой мог воспользоваться, если студент подглядит какими IP пользовался техперсонал. Либо техперсонал забывал его удалить по завершении всех работ с ПК. Отдельно были случаи, что после удаления статического IP, он вновь незаметно возвращался в настройки сетевой карты после перезагрузки ОС. Потом, когда прописывали статику на других ПК, он не ставился из-за конфликта IP и техперсонал не мог найти, где его "оставил", т.к. парк ПК был большим.

Проблема №7. Даже при отсутствии альтернатив, к PPPoE-серверу на Cisco 2811 всё равно не хотелось возвращаться:

  • Много манипуляций для создания PPPoE-подключения.

  • Случайно сохраняют пароль и забывают удалить PPPoE-подключение.

  • Были слухи, что вендоры от него отказываются, устарел и тому подобное. Шлюзы Элтекс, Zyxel не исключение, в них PPPoE-сервера нет.

  • Cisco 2811 не был шустрым, задержки трафика при загрузке/отправке данных были больше, чем при использовании статического IP.

Проблема №8. Поднимать на физическом сервере ОС с PPPoE, L2TP-сервером не вариант, много суеты. Необходимо регулярно:

  • менять батареи в ИБП, запитывающего сервер;

  • своевременно проверять состояние накопителей, пока бэдами не посыпались.

  • продувать от накопившейся пыли;

  • менять термопасту и износившиеся кулеры;

  • поддерживать работоспособность сплит-систем в серверной.

Проблема №9. Это всё требует внимание, которое не оплачивается, зарплата больше не становится. И с учётом того, что другие комплектующие сервера не будут ломаться (ОЗУ, мамка, проц, контроллеры).

Нужно что-то другое и попроще, чтобы персоналу было легче подключаться к интернету, был шустрым, с минимальными задержками. Чтобы шлюз настраивался удобно, с первого раза. Это же так поднимет общую производительность труда и всем настроение.

А что вы думаете? Прошу в комменты.

Мои предыдущие статьи:

В конце текста информация обо мне.

Где проблема встречается?

Проблема №10. В крупном образовательном учреждении. Таких устройств в день набирается не менее 3 штук. В здании коридоры длинные и много этажей, неудобно технику таскать в ремонтный кабинет отдела ИТ, в котором есть интернет для переустановки софта без прокси. Теряем время на перенос системника. Да и потом, если системник возвращаешь пользователю, на месте выясняется, что забыли обновить одну программку из интернета, а она не обновляется через прокси, потом ещё доустановить свежие дрова на принтер, плоттер, сканер, МФУ из интернета. Прокси блокирует некоторые сайты с драйверами, если их не оказалось на официальном сайте производителя.

Проблема №11. В этом же учреждении в компьютерных классах, проводятся компьютерные курсы по изучению различных компьютерных программ, операционных систем и много другого. Чтобы обучающиеся не учились по устаревшим программам, все программы регулярно обновляются до актуальных версий техперсоналом. В одном классе ПК по 16-38 шт. Все ПК не потащишь в ремонтный кабинет.

Поэтому техперсонал ходит к этим ПК и им там на месте нужна учётка доступа в интернет без прокси. Чтобы технику туда-сюда не таскать. На месте авторизовался, обновил софт из интернета. Молодец, задача выполнена.

Про флешки забудьте, учреждение не покупает и изнашиваются быстро.
Техперсонал восстанавливать софт из образа не желает, софт сильно меняется или начинка ПК поменялась после ремонта и надоедает переписывать образы каждый раз. Им проще всё с нуля быстро всё установить, но увы, для этого нужен хороший интернет на месте.

Как решать эту проблему?

Как это должно выглядеть? Техперсонал вводит легкозапоминаемую команду из одной строки для создания интернет-подключения на любой ОС, далее запросит логин и пароль. После успешной авторизации логина и пароля выпустит в интернет. По завершении всех работ созданное интернет-подключение автоматически удаляется после перезагрузки ОС или отключения/включения сетевой карты, не оставляя следов. Если техперсонал опять забудет это сделать, то интернет по таймеру прекратится через время.

Пробовал L2TP-сервер поднять на отечественном роутере Элтекс ESR-21 и в дальнейшем с ним работать, он умеет хранить в себе учётки без внешнего RADIUS-сервера. На компах процесс создания L2TP подключения к интернету похож на предыдущий PPPoE.

Но техперсонал отказался создавать и удалять вручную L2TP подключения, т.к. постоянно забывали удалить подключение. Ну отказались от L2TP и хорошо, при активном использовании интернета через одно L2TP подключение одно ядро из нескольких ядер ЦПУ роутера Элтекс нагружалось. Не критично, но хотелось бы, чтобы одно ядро не нагружалось более 6%, а остальные были бы по 0%.

Поэтому искал ещё варианты.

Из доступных вариантов доступа в интернет по паролю подошёл Captive Portal, на Zyxel именуется "веб-аутентификация". Большую роль на выбор оказали успешно реализованные проекты, связанные с системой гостевого доступа в интернет по Wi-Fi. Там узнал множество ключевых данных, подходившие для организации парольного доступа.

Мои публикации, связанные с гостевым Wi-Fi:

Веб-аутентификация есть на всех межсетевых экранах Zyxel ATP / USG Flex. На снятых с производства моделях тоже есть:

  • NXC5200 / 2500 / 5500

  • ZyWALL 110 / 310 / 1100

  • USG 110 / 310 / 1100 / 2200

  • VPN 50 / 100 / 300 / 1000

На более ранних моделях может отсутствовать!

Сейчас приступаем к пошаговой настройке веб-аутентификации на Zyxel USG Flex 100W с SFP портом (версия прошивки 5.37(ABWC.0)) в дефолтном состоянии.

Дефолтное состояние (заводской конфиг, конфиг по умолчанию) шлюза можно получить после удерживания кнопки RESET до начала мигания лампочки SYS.

Кабель провайдера подсоединён к WAN порту (порт P2, не SFP) USG Flex 100W. Интернет от провайдера выдаётся автоматически, без настроек и в виде динамического IP. Поэтому в USG Flex никакие интернет настройки не производились. Получили динамический IP, интернет заработал. К локальной сети USG Flex пока не подключаем.

Подключаем ПК в порт "P3" на шлюзе USG Flex 100W, в адресной строке браузера набираем http://192.168.1.1, авторизуемся с дефолтным логином admin и паролем 1234.

Если это первое подключение к веб-интерфейсу шлюза,

то запустится мастер быстрой настройки в котором настраивается подключение к интернету и другие настройки. Этот процесс в статье пропускаю во избежание большого количества букв, сразу приступаем к настройке веб-аутентификации.

Рис.1 - Создание правила веб-аутентификации.
Рис.1 - Создание правила веб-аутентификации.

Создаём правило (рис.1), где требуем авторизацию у пользователей с любым IP (IP-адрес источника), подключённых к интерфейсу "lan1" и обращающихся на любой IP-адрес назначения.

Интерфейс "lan1" в дефолте у USG Flex 100W это порты P3, P4 и P5, у других моделей интерфейсы и порты могут отличаться и при желании настраиваются в КОНФИГУРАЦИЯ -> Сеть -> Интерфейс -> Порт.

В некоторых случаях авторизацию можно запрашивать не только по интерфейсу, но и по IP-адресу источника или по IP-адресу назначения, либо вместе. При необходимости можно по расписанию включать правило.

Рис.2 - Глобальное включение веб-аутентификации.
Рис.2 - Глобальное включение веб-аутентификации.

После глобального активирования (рис.2) веб-аутентификации правила действуют снизу вверх. Поясняю:

  • трафик пользователя проверяется сначала с правила "Default", не требующее авторизацию (unnecessary) у любого пользователя с любым IP (IP-адрес источника), устанавливающего соединение с любым IP (IP-адрес назначения), на любом внутреннем интерфейсе (кроме WAN);

  • далее трафик пользователя проверяется по правилу №1, в котором требуется авторизация (force) у пользователей, подключённых к интерфейсу "lan1" и им предложится страница авторизации. В интернет выпустит только после успешного ввода логина и пароля;

  • трафик пользователей остальных интерфейсов ("lan2" и другие) проигнорируются правилом №1. Других вышестоящих правил нет, значит последним подходящим по критериям правилом "Default" выпустит в интернет, не требуя авторизацию.

Рис.3 - Создание учётки.
Рис.3 - Создание учётки.

Создаём учётки техперсоналу (рис.3). Особое внимание уделим полям "Время аренды" и "Период повторной аутентификации".

Время аренды - это первичное время действия учётки после авторизации. Если её не продлевать в личном кабинете, учётка автоматически завершит свою работу (выход из системы) и доступ в интернет прекратится. Шлюз просто заново потребует ввести логин и пароль.

Это помогает в случаях, если техперсонал дрова выкачал и забыл завершить авторизацию и ушёл, а интернет оставил рабочим на компе. Если учётку не продлевали, шлюз сам завершит работу учётке через установленное время, на рис.3 это - 120 мин.

Период повторной аутентификации - максимальный срок действия учётки после авторизации. Это максимальное время работы с учёткой с учётом нескольких продлений аренды. Шлюз сам завершит работу учётке через заданное время, на рис.3 - это 360 мин и снова потребует ввести логин и пароль.

Допустим, ОС обновлялась более 120 мин и техперсонал продлевал аренду, а потом по завершении всех работ забыл завершить авторизацию и ушёл, интернет оставил рабочим на компе. И, если кто-нибудь, на этом компе воспользуется забытым интернетом и чужую учётку продлит и продлевает в дальнейшем, шлюз сам завершит работу учётке через установленное время, на рис.3 это - 360 мин. Сколько ни продлевай втихую аренду, шлюз без вариантов завершит работу учётки строго через 360 минут и снова запросит логин и пароль.

Рис.4 - Ограничения на повторную атворизацию.
Рис.4 - Ограничения на повторную атворизацию.

В целях усиления безопасности можно применить принудительную смену пароля, ограничение количества одновременных входов в систему, ограничение количества попыток входа в систему и так далее (рис.4).

В веб-интерфейсе нет списка заблокированных учёток и средств разблокировки. Это возможно только в CLI. Справочник команд в CLI тут на стр.459. Скриншот команд для работы с учётками на рис.5.

Рис.5 - Команды для работы с учётками.
Рис.5 - Команды для работы с учётками.
Команды для копипаста. Работа с заблокированными учётками:

show lockout-users

configure terminal

unlock lockout-users xxx.xxx.xxx.xxx

где ххх.ххх.ххх.ххх - IP заблокированного.

По-русски:

show lockout-users - вывод списка заблокированных учёток;

configure terminal - переход в режим конфигурирования, необходим для дальнейшей работы с командой unlock lockout-users;

unlock lockout-users - разблокировка заблокированных учёток.

Чтобы USG Flex 100W не конфликтовал с действующим шлюзом на схеме 1, меняем дефолтный 192.168.1.1 на 192.168.1.10 (рис.6) у интерфейса "lan1".

Рис.6 - Замена дефолтного IP.
Рис.6 - Замена дефолтного IP.

Следом отключаем DHCP-сервер (рис.7), чтобы по схеме 1 использовать прежний DHCP-сервер.

Рис.7 - Отключение DHCP-сервера.
Рис.7 - Отключение DHCP-сервера.

Перезагружаем USG Flex 100W. После перезагрузки убедитесь, что USG Flex 100W пингуется по новому IP 192.168.1.10 и пускает на веб-интерфейс.

По схеме 2 коммутатор подключаем к USG Flex 100W в порт P3, он же "lan1". Провайдер в порт P2 ("WAN").

Схема 2 - Сеть с веб-аутентификацией.
Схема 2 - Сеть с веб-аутентификацией.

На ПК в классе ещё раз пингуем 192.168.1.10. Если успешно, отключаем прокси (рис.8), далее набираем следующую команду в cmd на Windows (рис.9):

Рис.8 - Отключение использование прокси.9Рис.8 - Команда для замены шлюза.
Рис.8 - Отключение использование прокси.
Рис.9 - Команда для замены шлюза.
Рис.9 - Команда для замены шлюза.
Команда для копипаста:

в Windows (в cmd):

route change 0.0.0.0 mask 0.0.0.0 192.168.1.10

в Linux:

пробел обязательно перед командой! Тогда команда не запомнится в истории введённых команд.

пробелsudo ip route add default via 192.168.1.10

Рис.10 - Процесс замены адреса шлюза.
Рис.10 - Процесс замены адреса шлюза.

После того, как шлюз поменялся на 192.168.1.10 (рис.10), должна сама появиться страница авторизации (рис.11). Но, в зависимости от ОС, может не появиться. Тогда нужно запустить браузер Firefox и там будет предложение открыть страницу входа в сеть (рис.12).

Рис.11 - Страница авторизации.
Рис.11 - Страница авторизации.
Рис.12 - Кнопка с приглашением.
Рис.12 - Кнопка с приглашением.

В других браузерах приглашения нет, нужно самому набрать любой http сайт, например, www.ru или http://www.ru и перейдёт на страницу авторизации (рис.11).

После успешной авторизации отобразится "личный кабинет" учётки (рис.13).

Рис.13 - "Личный кабинет" учётки.
Рис.13 - "Личный кабинет" учётки.

По завершении всех работ с ПК техперсонал должен нажать на "Выход из системы" и выключить/включить сетевую карту, чтобы ранее изменённый шлюз 192.168.1.10 "забылся" и заново пропишутся динамические настройки с DHCP-сервера.

Или перезагрузить ПК, после перезагрузки шлюз 192.168.1.10 тоже забывается и сетевая карта прописывает новые динамические настройки IP-адреса с DHCP-сервера согласно схеме 2.

Соответственно, после откл/вкл сетевой карты или перезагрузки ОС интернет не работает на этих ПК, пока заново вручную не пропишут команду изменения шлюза (рис.9).

Если техперсонал забывает выйти из системы или удалить шлюз, то рано или поздно аутентификация на ПК завершается автоматически и интернет больше не работает или попросит админа завершить работу авторизованной учётки в веб-интерфейсе USG Flex 100W, после этого интернет тоже перестанет работать. Но самое главное, что на ПК не остаётся никаких следов интернет-подключения, чего и добивались.

Вывод:

Проблема №1 не устранена к сожалению, это мировой тренд и диктовка разработчиков.

Остальные проблемы почти устранены:

  • Техперсонал получает быстрый интернет по паролю с минимальными задержками, в котором всё нормально загружается, без ошибок загрузки файлов. Ядра ЦПУ роутера Zyxel мизерно нагружаются (проблемы №2, №3 и №5 устранены).

  • Проблема №4 частично устранена. Не у всех устройств есть CNA-браузер или возможность запустить браузер перед установкой/активацией. Ведь логин и пароль вводится только в браузере.

  • Забытый техперсоналом работающий интернет всё равно прекращает работу через указанное время или после откл/вкл сетевой карты или перезагрузки ПК (проблемы №6 и №7 устранены).

  • Интернет-подключение самоаннулируется без следов после откл/вкл сетевой карты или перезагрузки ПК (проблемы №6 и №7 устранены).

  • Возможность завершить работу авторизованной забытой учётки в веб-интерфейсе шлюза (проблемы №6 и №7 устранены).

  • Не нужен отдельный сервер с аутентификацией и контролем доступа в интернет (проблемы №8 и №9 устранены).

  • Шлюзы Zyxel ATP и USG Flex выполнены в 1U форм-факторе (модели ATP/USG Flex 100 настольного/настенного исполнения), конфигурация сохраняется в одном файле небольшого размера, читается текстовым редактором. Не нужно бэкапить всю ОС или дисковый раздел куда-нибудь на надёжное файловое хранилище. Избавляет от регулярной возни с ИБП, накопителями, чисткой от пыли, заменой термопасты, сплит-системами (проблема №8 устранена). В идеале это всё нужно, но хотя бы так часто возиться не требуется и железка Zyxel работает без этого всего, если денег не дают на замену батарей ИБП или закупку сплит-системы.

  • Веб-аутентификация быстро настраивается на шлюзах Zyxel (проблема №9 устранена).

  • В случае проблем с основным провайдером, техперсонал авторизуется по своей второй учётке и выходят в интернет через резервного провайдера*.

* Об этом будет рассказано в другой публикации.

А что вы думаете? Прошу в комменты.

На сегодня всё.

Об авторе:

Кто я? Меня зовут Александр. 17 лет профессионально занимаюсь СКС и сетевым оборудованием. Получил много опыта работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме - @NSanchez13, так что, если будут вопросы, комментарии, мнения – милости прошу.

Полезные ссылки:

#доступ в интернет по паролю.

Комментарии (19)


  1. aik
    12.09.2023 09:41

    А чем не нравится удалённое управление и установка программ через gpo? Всех проблем не решит, но беготню заметно уменьшит.


  1. Zyxel_South Автор
    12.09.2023 09:41

    1. Windows GPO не применишь для Linux рабочих станций.

    2. Удалённое управление не поможет, если ОС с нуля переустанавливается.

    3. Руководство не разрешает удалённое управление, техперсонал по заявкам должен на месте присутствовать.


    1. aik
      12.09.2023 09:41

      С нуля ОС должна разворачиваться из образа сразу со всеми программами.


      1. Zyxel_South Автор
        12.09.2023 09:41

        Из публикации цитирую.

        Про флешки забудьте, учреждение не покупает и изнашиваются быстро.Техперсонал восстанавливать софт из образа не желает, софт сильно меняется или начинка ПК поменялась после ремонта и надоедает переписывать образы каждый раз. Им проще всё с нуля быстро всё установить, но увы, для этого нужен хороший интернет на месте.


        1. aik
          12.09.2023 09:41

          Про флешки забудьте, учреждение не покупает и изнашиваются быстро.

          Зачем флэшки?


          Техперсонал восстанавливать софт из образа не желает

          Не умеет — научим, не хочет — заставим.


          софт сильно меняется или начинка ПК поменялась

          Начинка ПК при нормально приготовленном образе значения не имеет, а софт можно потом добить через автообновления.


          Им проще всё с нуля быстро всё установить, но увы, для этого нужен хороший интернет на месте.

          То есть человеку проще загрузиться с оптического носителя, поставить с него ОС, скачать из интернета дистрибутивы программ вместо того, чтобы загрузиться по сети с сервера/NAS'а, раскатать образ и доставит туда специфичный софт для данной установки с того же сервера?
          И вместо того, чтобы через какой-нибудь ansible дать команду на установку/обновление или тупо по ssh зайти на комп и ввести там sudo apt install software у вас там эникейщик топает ножками, логинится локально и ставит всё ручками? Да ещё и переустанавливает ОС при этом? Если "проще с нуля"?


          Вообще, мне вся эта статья кажется притянутой за уши — изобрели проблему и теперь её решаете вместо того, чтобы оптимизировать работу хотя бы размещением дистрибутивов в локальной сети.
          Недостатки наличия сервера тоже притянуты за уши. ИБП всё равно должны быть, термопасту серверам никто не меняет, накопители меняются на горячую если вдруг что, однорэковые сервера тоже бывают и т.п.


          1. Zyxel_South Автор
            12.09.2023 09:41

            Вообще, мне вся эта статья кажется притянутой за уши — изобрели проблему и теперь её решаете вместо того, чтобы оптимизировать работу хотя бы размещением дистрибутивов в локальной сети.

            Да, есть проблема с оптимизацией работы, но чтобы поднять сервер с дистрибутивами в локальной сети - нужен специалист, который займётся этим и будет это поддерживать в актуальном состоянии. Такого спеца нет.

            Мне хватает своей работы, связанная с СКС и сетевым оборудованием.

            Недостатки наличия сервера тоже притянуты за уши. ИБП всё равно должны быть, термопасту серверам никто не меняет, накопители меняются на горячую если вдруг что, однорэковые сервера тоже бывают и т.п.

            Термопаста со временем высыхает и хуже отводит тепло, соответственно, процы будут перегреваться и подвисать или автоматически снижать производительность.

            Накопители для серверов и батареи нужно своевременно закупать, с этим тоже беда. Нужен толковый закупщик, который сумеет правильные и совместимые модели покупать на тендерах. Да и с годами подходящих накопителей может не оказаться в наличии.

            Проще необслуживаемую железку поставить, чем с серверами и закупками возиться.


            1. aik
              12.09.2023 09:41

              чтобы поднять сервер с дистрибутивами в локальной сети — нужен специалист, который займётся этим и будет это поддерживать в актуальном состоянии. Такого спеца нет

              Когда я учился в университете, то всем занимались студенты. И сервера поддерживали, и сеть протягивали, и ОС переустанавливали.


              Термопаста со временем высыхает и хуже отводит тепло, соответственно, процы будут перегреваться и подвисать или автоматически снижать производительность.

              Не настолько уж и хуже. Сервера многие годы спокойно работают без замен термопасты. Может она и подсыхает, но температуры остаются в пределах допустимых. Конечно, делать периодическую профилактику полезно, но необходимостью она обычно не является.


              покупать на тендерах.

              Это сложно, да. В моё время мы получали от руководства пачку наличных, толпой грузились на универскую буханку и ехали в Москву, сперва на Савеловский, а потом стали в Ф-Центр на Бабушкинской ездить. :)
              Но особой толковости не требовалось, обычные студенты мы были. Айтишники, да.


              1. Zyxel_South Автор
                12.09.2023 09:41

                а потом стали в Ф-Центр на Бабушкинской ездить. :)

                Хороший магазин, полный прайс-лист, с подробным описанием. Раньше необходимое закупали в таких магазинах, не парились с подбором аналогов. Всегда можно было приехать и перед оплатой за товар удостовериться, что накопитель, RAID-контроллер или проц нужной ревизии. Сейчас розничных магазинов с широким ассортиментов за пределами Москвы почти нет. Почти вся торговля ИТ ушла в онлайн. Фото в каталогах не всегда сходится с настоящим товаром. Серверы быстро устаревали в модельном ряду, сложно было найти через 3-5 лет и докупить совместимые детали, так как доступные к продаже детали были свежее ревизиями и могли не подойти из-за несовместимости ревизий.

                Ещё осмотр товара перед оплатой упразднили, сначала оплата в кассу, а потом осмотр. Если товар не устроил, оформляйте процедуру возврата денег за неподходящий товар. Это столько времени отнимает.

                Мы же не из Москвы, все нужные товары находятся в основном в Москве и заказ товара обычно после полной 100% предоплаты.

                Жаль, что в настоящее время в розницу ничего не купить, всё только через тендер (прямые закупки большая редкость, либо ограничение по бюджету). Причём перед работой с ТЗ, нужно ознакомиться с предлагаемыми товарами на рынке и в ТЗ суметь указать такие теххарактеристики , чтобы поставщик не подсунул аналог или несовместимые по ревизии детали. Но как показывает практика, всё равно найдётся аналог сильно дешевле, проходит по ТЗ, но не заработал по каким-нибудь причинам (прошивка, ревизия, рабочее напряжение).

                Один из примеров по сетевому оборудованию, коммутаторы HP не хотят работать с неоригинальными SFP-модулями, хотя на бумаге по характеристикам SFP-модули HP и аналог ничем не отличаются. Такая же проблема и с дешёвыми китайскими ноунейм SFP-модулями для маршрутизаторов Элтекс, распознаются, но очень плохо работают.


                1. aik
                  12.09.2023 09:41

                  Сейчас розничных магазинов с широким ассортиментов за пределами Москвы почти нет.

                  Да и в Москве, считай, только всякие там мвидео остались и прочие эльдорадо, где компами и комплектующими торгуют наравне с тостерами и холодильниками.


                  Серверы быстро устаревали в модельном ряду, сложно было найти через 3-5 лет и докупить совместимые детали

                  Если к брэндам и новое — тут да, наклеил НР свою наклейку на WDшный винт — и всё, +100% к цене и -100% к совместимости.


                  Ещё осмотр товара перед оплатой упразднили, сначала оплата в кассу, а потом осмотр.

                  Не осмотр, а проверку, скорее. Особенно если из коробки доставать надо. И с какой-то стороны я продавцов тут понимаю. Один посмотрит десяток мониторов, выберет, а остальные придётся продавать уже распакованными.


                  Мы же не из Москвы, все нужные товары находятся в основном в Москве и заказ товара обычно после полной 100% предоплаты.

                  Такое есть. Выручает ДНС, который, по-моему, почти в каждой деревне имеется. А всякие там никсы и ситилинки приходится с доставкой курьерской заказывать.


                  всё только через тендер

                  Я с тендерами только со стороны продавца немножко дело имел. По работе же всё просто — выставил счёт на оплату да отнёс в бухгалтерию. Дадут добро — оплатят, не дадут — в следующем месяце попробуем. Но покупаешь что хочешь и у кого хочешь, лишь бы НДС вычесть можно было.


                  1. Zyxel_South Автор
                    12.09.2023 09:41

                    Не осмотр, а проверку, скорее. Особенно если из коробки доставать надо. И с какой-то стороны я продавцов тут понимаю. Один посмотрит десяток мониторов, выберет, а остальные придётся продавать уже распакованными.

                    В большинстве случаев на коробках присутствует маркировка, не требуется вскрытие упаковки.

                    Я с тендерами только со стороны продавца немножко дело имел. По работе же всё просто — выставил счёт на оплату да отнёс в бухгалтерию. Дадут добро — оплатят, не дадут — в следующем месяце попробуем. Но покупаешь что хочешь и у кого хочешь, лишь бы НДС вычесть можно было.

                    Если RAID-контроллер или накопитель неожиданно вышел из строя. Ищешь нужную модель в наличии, запрашиваешь три коммерческих предложения одного и того же товара у разных магазинов и запускаешь процедуру размещения на аукционе.

                    Но проблемы сразу начинаются при запросе коммерческого предложения. Либо не присылают коммерческое предложение, либо нет в наличии у кого-нибудь. Предлагают аналог, а уверенности в совместимости нет.

                    Это так растягивает время. Если смог собрать все три коммерческих предложения (уходит 1-2 недели), потом неделю собираешь подписи у бухов и руководства на одобрение закупки (уходит 1 неделя). Закупку размещают на аукционе, но никто не приходит участвовать, т.к. товар исчез на складах, либо курс скакнул.

                    Почему долго? У меня же свои обязанности по монтажу и поддержанию СКС, сетевого оборудования, реально некогда заниматься закупкой.

                    Сразу нужно было покупать...поэтому избегаю серверов, по возможности )


        1. toivo61
          12.09.2023 09:41

          Ну это если у вас ремонт "на месте", а не на рембазе.

          На рембазе интернета должно хватить на все.

          А одного внешнего HDD с образами и дистрибутивами должно хватить на все, и надолго. И быстрее чем из сети.

          Похоже, что техники устраивают итальянскую забастовку против руководства.

          А руководство или в ИТ не соображает, или из бывших военных.

          У нас в Университете интернет есть на всех компьютерах в сети, но ДНС и сегментация сети умело режет не нужное. Плюс АД и групповые политики, и самое вкусное -- SCCM, с его центром программного обеспечения.

          Но санкции могут подкрасться внезапно.


          1. Zyxel_South Автор
            12.09.2023 09:41

            У нас в Университете интернет есть на всех компьютерах в сети, но ДНС и сегментация сети умело режет не нужное.

            А если студент без авторизации нашёл запрещённый ресурс, о котором никто не знает, и сёрфится там, пишет нехорошие комментарии? Как боретесь?

            Но санкции могут подкрасться внезапно.

            Санкции вроде подкрались, разве лицензии для Win Server и саму Win11 можно закупить? А вдруг завтра переустановленную Винду не получится активировать. Недавно Win7 с большим трудом активировал, ошибку выдавал.

            Переходим на отечественное ПО, ему Microsoft вряд ли нужен.


            1. toivo61
              12.09.2023 09:41

              Все студенты в АД, без авторизации он "в компьютер" не попадет.

              Сети сегментированы.

              Доступ режет ДНС.

              У нас же еще и дети до 18 есть (колледж) там еще жестче, по закону.


              1. Zyxel_South Автор
                12.09.2023 09:41

                Все ПК с Windows? ПК с Linux есть?


    1. toivo61
      12.09.2023 09:41

      1. Руководство не разрешает удалённое управление, техперсонал по заявкам должен на месте присутствовать.

      Ответить Zyxel_South

      Вот это Проблема.

      У нас в Университете этих проблем нет. Хотя ИТ тоже недофинансировано.


      1. omaxx
        12.09.2023 09:41

        А так же проблема в том, что руководство панически боится, что кто-нибудь вдруг выйдет в интернет в обход прокси-сервера...


        1. Zyxel_South Автор
          12.09.2023 09:41

          Руководство можно понять, его первым допросят в случае чего. Были случаи. Поэтому халявного интернета без учётки нигде не должно быть.

          Чтобы никто без авторизации не смог строчить нехорошие комментарии, не загружал запрещённые материалы.


  1. i01dup
    12.09.2023 09:41

    проблемы номер 2 и 3 решатся выпуском трафика на определенные dst addr (и подсети) через nat. пример с гранд-сметой: можно выдать по dhcp маршруты на эти адреса назначения как раз на nat. вебинары - то же самое. проблема номер 1 - надо разбираться индивидуально, в т.ч. ставить свои сервера обновлений, хранилища файлов обновлений и т.п.. если лень или некогда разбираться, то можно наворачивать RADIUS поверх l2tp и т.д. вплоть до приватных VLAN по одному на юзера и по одному на наглую программу.


    1. Zyxel_South Автор
      12.09.2023 09:41

      проблемы номер 2 и 3 решатся выпуском трафика на определенные dst addr (и подсети) через nat. пример с гранд-сметой:

      Это хороший вариант. Были сложности с реализацией. У ГРАНД-Сметы, *.webinar.ru, archive.ubuntu.com и других сайтов есть много разных IP на одно имя сайта. Отечественные аппаратные МСЭ в прошлом году не умели работать с именами сайтов, только по IP могут работать в правилах МСЭ, хотя сегодня может что поменялось у них.

      Причём у сайтов IP уйма и постоянно менялись без предупреждений. Техподдержка снова как обычно: "Разрешайте сайты по именам!"

      Не реклама, но снова выручил шлюз Zyxel с поддержкой FQDN имён в правилах МСЭ. Как это реализовал - об этом в другой публикации расскажу.