Меню

Как настроить роутер в школе

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Школьный роутер. Подводим итоги. Теория

Школьный роутер. Подводим итоги. Теория

За прошедшее время мы, благодаря вашим отзывам и вопросам, смогли лучше понять, что требуется от школьного роутера, но также увидели и оборотную сторону медали. Школьные учителя, на плечи которых легло основное внедрение СПО в школы, зачастую не всегда представляют каким именно образом функционирует роутер, в связи с чем допускают глупые ошибки или изобретают велосипеды. Но это нельзя поставить им в вину, их работа состоит в другом — учить наших детей, а вынужденная переквалификация в системных администраторов связана с плачевным финансовым состоянием системы школьного образования в целом.

С учетом вышесказанного мы решили подвести итоги и собрать в единую статью все наши публикации за прошедшие полтора года, создав готовую инструкцию по инсталляции готового школьного роутера. В данном материале мы не будем подробно разбирать те или иные настройки, а будем давать отсылки к уже опубликованным материалам. Зато разберем схему функционирования школьного роутера в целом.

Начнем с требований. Какие задачи должен выполнять школьный роутер? Предоставлять ученикам и преподавателям доступ в интернет, фильтровать получаемый учениками контент, осуществлять начальную антивирусную проверку трафика и блокировать несанкционированный доступ к ресурсам всемирной сети. Коротко политику доступа можно описать как: все что не разрешено, запрещено. Лучше перебдеть, чем недобдеть, открыть доступ к нужному ресурсу успеете всегда, а вот блокировать после инцидента может оказаться поздно.

Перед тем как браться за настройку школьного роутера, а это довольно сложный программный комплекс, следует иметь четкое представление о функциях каждого сервиса и способах их взаимодействия между собой.

Основным механизмом организации общего доступа к ресурсам внешней сети (в т.ч. интернет) является преобразование сетевых адресов (NAT), суть которого сводится к подмене адреса источника (во внутренней сети) адресом внешнего интерфейса сервера и обратной заменой для ответного пакета. Это позволяет осуществить доступ к внешним ресурсам для всей внутренней сети и в то же время закрыть внутреннюю сеть от попыток доступа извне. В Ubuntu Server функции NAT выполняет встроенный брандмауэр iptables. Главным достоинством NAT является его прозрачность, любое приложение использующее любой сетевой протокол (даже самый экзотический) с легкостью получит доступ во внешнюю сеть, если это разрешено правилами брандмауэра.

Но кроме организации доступа в сеть интернет нам надо осуществлять фильтрацию контента и первичную антивирусную проверку. Здесь мы подходим к очень важному моменту. Львиная доля интернет трафика приходится на протокол HTTP, все, с чем мы работаем через браузер, использует этот протокол. Иные программы, например почтовый клиент, используют свои протоколы (POP3, SMTP), однако работая с почтой через web-интерфейс мы будем использовать именно HTTP протокол. Проще говоря, нет смысла фильтровать иные протоколы, кроме HTTP, там вы или разрешаете доступ к определенным сервисам, либо запрещаете их.

Для работы с HTTP трафиком предназначены прокси-сервера, которые обрабатывают запросы пользователей и, в зависимости от результатов обработки, либо отвечают сами, либо перенаправляют запрос во внешнюю сеть или отклоняют его. Прокси-сервера могут представлять собой каскады, каждый элемент которого осуществляет свои функции анализа и обработки запросов.

Для работы через прокси-сервер, как правило, следует явно указать его адрес и порт в настройках приложения, однако можно сделать так, чтобы все HTTP запросы автоматически отдавались прокси-серверу, такая схема называется прозрачным прокси.

Основное назначение прокси-сервера это снижение нагрузки на канал и увеличение скорости работы в интернет за счет кэширования веб-документов имеющих статичное содержимое. Так если несколько пользователей в течении дня обратились к какому -нибудь ресурсу, то все его содержимое, включая оформление будет загружено из сети только один раз, при следующих обращениях клиент будет получать содержимое кэша прокси-сервера. Как показывает практика, экономия трафика за счет использования прокси-сервера может достигать 30-40%, в основном выигрыш идет за счет статичной графики и статичных документов. Также прокси-сервер может осуществлять фильтрацию трафика, авторизацию пользователей, ограничение скорости доступа.

Кроме того существуют специализированные прокси-серверы основная задача которых именно фильтрация трафика, к ним относятся контент-фильтры, антивирусные прокси, фильтры рекламы и т.п. Для школьного роутера, учитывая повышенные требования к безопасности и фильтрации, следует использовать сразу несколько специализированных продуктов, создав каскад-прокси.

Еще одним рубежом обороны может быть использование фильтрующих DNS. Для образовательных учреждений официально рекомендовано использование сервиса NetPolice DNS. Как работает подобный сервис? Рассмотрим следующую схему:


Запрашивая какой-либо материал из сети интернет пользователь набирает в браузере символьное имя сайта, например mail.ru. Однако символьное имя не несет информации, какому именно серверу в сети следует посылать запрос, для этого необходимо знать IP адрес сервера, обслуживающего данное доменное имя, такую информацию предоставляют DNS сервера.

Итак, пользователь набрал в адресной строке имя сайта. Следующим шагом будет отправка запроса DNS серверу, указанному в сетевых настройках. Он может выдать результат из кэша или перенаправить запрос вышестоящему серверу. В результате мы получим ответ, что введенному нами символьному имени mail.ru соответствует IP адрес 94.100.191.204. Запрос по данному адресу будет направлен к роутеру, который в свою очередь сравнит адрес назначения с текущими правилами брандмауэра и либо отклонит его, либо передаст дальше. Сервер назначения, получив запрос, сформирует ответ и передаст его запросившему клиенту, в данном случае роутеру. Произведя необходимую фильтрацию, роутер передаст ответ тому ПК, с которого был сделан запрос и пользователь увидит на своем экране содержимое веб-страницы (либо страницу блокировки, если запрошенная страница по какой-то причине не прошла фильтрацию).

Читайте также:  Как настроить вход для клавиатуры

Используя в качестве DNS сервера NetPolice DNS мы получаем возможность фильтровать DNS запросы по заранее созданным базам. Если запрошенное имя домена не содержится в базах, клиент получит действительный IP адрес страницы, иначе будет выдан адрес сервера, содержащего страницу блокировки, т.е. все остальные участники схемы не будут подозревать, что обращаются не к серверу, обслуживающему сайт xxx.ru, а к серверу службы NetPolice, содержащей страницу блокировки.

Здесь следует четко понимать, что вопреки написанному на сайте NetPolice, данная служба не осуществляет контентную фильтрацию, из приведенной схемы прекрасно видно, что DNS сервер не участвует в процессе получения запрошенного контента. В данном случае фильтруются исключительно DNS запросы, что аналогично URL фильтрации. Так использовать NetPolice DNS или нет? Наше мнение — использовать. Получая в свое распоряжение готовые базы для фильтрации вы снижаете нагрузку на собственный контент-фильтр (и уменьшаете вероятность ошибки), отсеивая запросы к нежелательным ресурсам на начальной стадии.

Следующий и основной рубеж обороны — школьный роутер. Пришла пора разобраться как именно он работает и за что отвечает тот или иной компонент. Схематично роутер можно представить следующим образом:

Основными службами роутера являются NAT и брандмауэр, именно они, в тесном взаимодействии, отвечают за все сетевые соединения. Так, например, все инициированные извне соединения будут отклонены, а из внутренней сети будут пропущены только те, которые явно разрешены. Не забываем, у нас по умолчанию действует правило: все что не разрешено — запрещено.

В нашем примере один из пользователей работает с электронной почтой, запрос от почтового клиента направляется роутеру, который в соответствии с правилами брандмауэра (почтовые протоколы явно разрешены) перенаправляет их серверу назначения и направляет ответ запросившему клиенту.

Второй пользователь работает с интернет через браузер. Его запросы также направляются роутеру, однако они, в соответствии с правилами, направляются не во внешнюю сеть, а прокси-серверу, хотя пользователь не подозревает, что работает с прокси (прозрачный прокси).

В нашем случае прокси-сервер представляет собой каскад из контент-фильтра DansGuardian, кэширующего прокси-сервера Squid и антивирусного прокси HAVP.

Исходящий запрос обрабатывается только кеширующим прокси Squid, который проверяет наличие запрашиваемого объекта в кэше и либо отдает объект, либо перенаправляет запрос серверу назначения. Не следует недооценивать роль кэширующего прокси-сервера, мы провели простой эксперимент: с двух ПК последовательно запросили одну и ту же страницу, предварительно очистив кэш браузера и кэш прокси-сервера.

Результат, как говорится, налицо. Особенно это заметно по загрузке тяжелых элементов страницы, изображений и т.п. В первом случае все изображения были загружены из сети интернет, во втором получены из кэша прокси-сервера. Кроме экономии трафика также выросла скорость доступа к данному ресурсу за счет получения тяжелых элементов страницы по локальной сети из кэша.

Если запрошенный объект отсутствует в кэше, Squid перенаправляет запрос во внешнюю сеть, серверу назначения. Полученный ответ проходит несколько ступеней фильтрации. В первую очередь антивирусную, специализированный прокси HAVP перенаправляет все полученные объекты антивирусному сканеру, в качестве которого используется ClamAV (хотя могут использоваться и иные антивирусные продукты). Прошедшие проверку объекты передаются кэширующему прокси Squid, который помещает полученный объект в кэш и передает его для обработки контент-фильтру. Такая схема хороша тем, что в кэше Squid будут находиться только чистые объекты, в то же время все объекты (в т.ч. закэшированные) будут проходить контент-фильтрацию. Это позволит избежать ситуации когда ученик получит из кэша нежелательную страницу, ранее просмотренную учителем или администратором.

Последнее звено прокси-сервера контент-фильтр, он производит фильтрацию полученного из сети содержимого и либо отдает его клиенту, либо выдает страницу блокировки. Будучи правильно настроенной подобная схема сочетает удобство для пользователя, который может получать сетевые настройки автоматически по DHCP, и высокую степень защиты сети и получаемого пользователями контента.

В следующей части нашей статьи мы рассмотрим практическую реализацию нашего варианта школьного роутера, предоставив готовую инструкцию, которая позволит реализовать данное решение с нуля, не прибегая к использованию иных публикаций.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Источник

Школьный Wi-Fi STUDY: где взять данные для подключения ученику?

В каждой современной школе есть Wi-Fi сеть, к которой могут подключаться ученики и персонал учебного заведения. Но в школах Москвы пошли дальше – у них есть 2 точки доступа. Одна называется открытой, другая – закрытой. О подключении к ним пойдет речь сегодня и будет руководство для учеников.

Здесь с подключением не будет никаких проблем. На мобильном устройстве или компьютере нужно найти в списке доступных сеть с названием «OPEN» и подключиться к ней. Ввод ключа безопасности не требуется.

Но здесь есть подвох. При попытке зайти в любой браузер откроется портал, через который доступен ограниченный список ресурсов:

  • Мои документы;
  • Электронный журнал;
  • Московский паркинг;
  • Культура Москвы;
  • Сервис поиска пропавших людей;
  • Электронный учебник и некоторые другие.
Читайте также:  Приставка для цифрового телевидения пишет нет сигнала как настроить

STUDY

Самая подробная пошаговая инструкция по регистрации на портале mos.ru и подключению к школьному Wi-Fi представлена в следующем видео:

Чтобы получить полноценный доступ к Интернету, ученику или любому сотруднику школы нужно подключиться к закрытому сегменту беспроводной сети. Такой школьный Wi-Fi получил название «STUDY». Здесь потребуется ввод логина и пароля.

Как подключиться к Wi-Fi точке доступа «STUDY» в школе:

  • В списке доступных найдите сеть, у которой SSID – STUDY, нажмите кнопку подключения;
  • В новом окне необходимо ввести имя пользователя (на некоторых устройствах пункт называется «Удостоверение») и пароль;
  • Нажмите «Подключиться».

Кажется, все просто. Но где взять имя пользователя и пароль, чтобы подключить школьный Wi-Fi? Напишу секретную инструкцию для учеников, ведь учителя наверняка знают, где взять эти данные.

Итак, как получить имя пользователя и пароль для доступа к Wi-Fi STUDY? Для начала нужно зарегистрироваться на портале mos.ru , где можно получить доступ к городским сервисам. После авторизации заходим на вкладку «Услуги», далее в раздел «Образование» пункт «Электронный дневник школьника».

В маленьком окошке жмем «Получить услугу».

Теперь нужно зарегистрировать электронный школьный дневник – придумать логин и пароль.

Эти данные нужны для доступа к библиотеке электронных материалов и школьному Wi-Fi. Это именно то, что нужно для подключения к закрытому сегменту беспроводной сети школы.

Данные можно изменить. Для этого заходим в электронный дневник и отправляемся в настройки (значок «Шестеренка» в правом верхнем углу).

Выберите пункт «Личный кабинет».

На странице «Учетные данные для доступа к библиотеке ЭОМ и школьному Wi-Fi» нажмите «Изменить».

Введите новые данные и кликните «Сохранить».

Источник



Проект «Образование» от Ростелекома. Как настроить интернет в школе?

Posted By: admin 13.08.2016

Образовательные и бюджетные организации, зачастую, не имеют штатного связиста, ограничиваясь максимум аутсорсингом системного администратора из местной фирмы. Именно поэтому на таких предприятиях нет никаких схем сетевой и серверной инфраструктуры, инструкций от оборудования и прочих весьма нужных материалов. Все школы в Республике Коми подключены по специальному проекту «Образование». А это значит, что стандартные настройки для модем здесь не помогут.

Что представляет собой такое подключение?

Школы подключены посредством VPN-канала через специальный контент-фильтр (что-то вроде Яндекс.DNS, который фильтрует сомнительные и «взрослые» сайты в сети). Таким образом, протокол PPPoE не используется, авторизация клиентов происходит посредством IP-адресации и DNS. Базовая настройка подразумевает собой прописывание шлюза и на сетевой карте (LAN модема) и, непосредственно, на самом модеме. Т.е. есть и WAN-адресация и LAN-адресация. Если сеть школы серьезней обычного модема, то для работы серверного оборудования школы аналогичные настройки должны быть прописаны на маршрутизаторах Cisco или любых других, используемых в организации. Полный список сетевого оборудования можно посмотреть на этом сайте

[su_quote] ПРИМЕР АДРЕСАЦИИ:

LAN IP 10.11.47.64
LAN МАСКА 255.255.255.224
LAN ШЛЮЗ 10.11.47.65
WAN IP 172.17.101.233
WAN МАСКА 255.255.255.252
WAN ШЛЮЗ 172.17.101.234[/su_quote]

LAN-адресация прописывается в свойствах подключения (на сетевом адаптере) компьютерной техники в Школе.

WAN-адресация прописывается в настройках модема. Обратите внимание, что нужный режим может называться в разных модемах совершенно по разному, хотя суть у них одна.

  1. В русских прошивках надо выбирать режим iPoe
  2. В зарубежных, как правило, режим называется MER (MAC Encapsulation Routing)

Также в настройках модема рекомендуется отключать DHCP-сервер.

Пример полной настройки на примере модема Dlink 2500.

IP-адрес модема 192.168.1.1

Логин и пароль для входа на модем: admin/admin

Галочку DSL Auto-connect убираем …

Указываем необходимые настройки VPI/VCI …

Выбираем настройку MAC …

Указываем необходимый WAN IP, WAN Mask и Use IP …

Галочки Enable NAT и Enable Firewall убираем …

Указываем LAN IP модема …

Для сохранения настроек нажимаем Save/Reboot

Альтернативный способ?

Если модем поддерживает заливку конфигурации, то все настройки можно «залить» одним файлом. По сути, прошивка — это обычный файл конфигурации, который можно отредактировать текстовым редактором. Пример куска прошивки:

[ eth.ini ] ifadd intf=School_WAN

ifconfig intf=School_WAN dest=School_ATM vlan=default

[ ppprelay.ini ] ifadd intf=bridge

[ dhcspool.ini ] pool add name=LAN_private

Как залить файл конфигурации на примере модема Dlink

В стартовом окне настроек выберите пункт «Расширенные настройки»:

Далее в категории «Система» выбираем пункт «Конфигурация».

Кнопкой «Обзор» ищем на компьютере и выбираем файл конфигурации, который будет загружен.

Какие DNS рекомендуется прописывать?

Для обеспечения бесперебойной работы службы DNS на персональных компьютерах, услуги Контент-фильтрации, компания ОАО «Ростелеком» Коми филиал рекомендует для получения IP-адреса по доменному имени использовать следующие DNS сервера:

Источник

Бесшовный Wi-Fi для школы

Вопрос о том нужен ли в школе Wi-Fi не вызывает споров на учительских порталах.

Да, интернет нужен для учителей:

  1. Для заполнения электронных дневников
  2. Подбора дополнительных материалов (карты, ролики на YouTube, фотографии и прочее)
  3. Интерактивных уроков (один учитель рассказал, что на уроках английского он смотрит с учениками Netflix)
  4. Отправки заданий ученикам

Беспроводная сеть нужна и родителям, чтобы скоротать время в ожидании встречи с директором или окончания занятий в кружках.

Все учителя сходятся в одном — необходимо ставить жесткие фильтры для контента, чтобы ученики не могли посещать соцсети или развлекательные сайты.

Читайте также:  Телевизор sony kdl 32we613 как настроить

В нашей статье мы расскажем как мы строим беспроводные сети и какие меры безопасности можем предложить для учебных заведений.

Что такое “бесшовный Wi-Fi” и почему нужно строить именно такую сеть

Создать беспроводную сеть в школе можно минимум тремя способами:

  1. Установить точки доступа в ключевых местах: кабинет директора и бухгалтера, учительская, кабинет информатики, зоны рекреации
  2. Поставить несколько точек в коридорах или кабинетах
  3. Создать бесшовную сеть

При этом необходимо соблюсти ряд требований, которые школы предъявляют к сети:

  • Низкая стоимость внедрения (куда входят оборудование и работы)
  • Высокий запас прочности устройств
  • Простое и дешевое обслуживание
  • Стабильная работа

У каждого способа есть достоинства и недостатки:

Способ создания сети Плюсы Минусы
Только в определенных точках
  • Ученики не смогут использовать школьную сеть для интернет-серфинга на уроках
  • Простое внедрение.
  • Учителя не смогут использовать сеть для проведения уроков
  • Каждое устройство надо настраивать отдельно
Несколько точек по территории школы Учителя смогут использовать ресурсы для проведения уроков.
  • Нужно постоянно помнить к какой точке доступа подключаться
  • Возможны “мертвые зоны” или слишком высокая нагрузка на одну точку, что приводит к снижению скорости
  • Для увеличения зоны покрытия нужно ставить дополнительные точки и настраивать их
Бесшовный Wi-Fi
  • Единая сеть по всей школе
  • Интернет доступен из любой точки
Чуть более сложное внедрение

Если в школе несколько точек доступа, может сложиться ситуация, при которой учитель подключается к сети с недостаточной мощностью.

С бесшовным Wi-Fi педагог сможет переходить из класса в класс с ноутбуком и не беспокоиться о том, что нужно выбрать правильную сеть. Он просто открывает ноутбук и приступает к работе.

Срабатывает принцип “Чем меньше, тем лучше”.

Как устроена бесшовная беспроводная сеть?

Упрощенно схему можно представить следующим образом.

В основе сети: роутер, точки доступа и контроллер. Роутер передает интернет к точкам доступа, а контроллер управляет ими. Контроллер может быть отдельным устройством или специальной программой.

У любой точки доступа есть радиус действия. Чем ближе к ней пользователь, тем лучше качество сигнала. На краях этой зоны возможна нестабильная работа и даже потеря связи. При переходе по зданию сигнал теряется и нужно подключаться к другой сети. Именно поэтому ставить отдельные точки в школе не самое лучшее решение.

В случае бесшовного Wi-Fi точки доступа располагаются так, чтобы перекрывать зоны действия друг друга. Благодаря такому наложению сигнал остается постоянным и стабильным в любой точке здания.

Контроллер в свою очередь выполняет следующие задачи:

  • Отслеживает состояние точек доступа и нагрузку на них
  • Регулирует мощность сигнала и пропускную способность
  • В случае выхода из строя точки доступа увеличивает мощность сигнала на остальных, чтобы сохранить покрытие
  • Подключение новых точек доступа в случае, если устройство вышло из строя

Все эти операции проходят автоматически и не требуют вмешательства системного администратора.

Также стоит отметить, что бесшовный Wi-Fi нужен не только для образовательных целей. В этой же сети могут работать камеры наблюдения, принтеры и другие беспроводные устройства.

Безопасность бесшовного Wi-Fi

Школьная сеть должна иметь несколько степеней защиты:

  • От несанкционированного доступа
  • Фильтрация нежелательного контента

Для защиты от взлома и несанкционированных подключений мы установим пароль и систему защиты от взлома.

Что касается нежелательного контента, здесь ситуация чуть более сложная.

Список запрещенных и разрешенных сайтов (“черный” и “белый” списки) поставляет провайдер, поэтому можно воспользоваться им. Однако туда входят, как правило, экстремистские сайты, онлайн-казино, сайты с эротическим контентом.

В школе же нужна более сложная фильтрация — закрыть соцсети, площадки с мобильными играми. В этом случае “черный” список нужно настроить уже внутри школьной сети.

Здесь есть свои тонкости. Если настроить полную блокировку YouTube, доступ к нему будет закрыт для учителей и учеников. Поэтому при настройке реестра разрешенных сайтов, необходимо добавить MAC-адреса учительских устройств в список доверенных устройств.

В этом случае педагоги смогут показывать ролики на уроках, но сами ученики на сайт не попадут.

Добавить сайт или устройство в нужный список можно за несколько минут, а сама система очень проста и наглядна.

В целом современные системы позволяют практически полностью отсечь школьников от нежелательных сайтов, но сохранить при этом доступ к нужным интернет-площадкам.

Как мы работаем?

Перед началом создания бесшовной сети мы тщательно изучим здание. Нам важно понять, где нужно разместить оборудование для размещения сервера и прочего оборудования для создания сети.

Затем наши инженеры проведут исследование помещений и выберут места для размещения точек доступа так, чтобы создать необходимое покрытие. На мощность и проходимость сигнала влияет несколько факторов, например материалы, из которых построена школа.

На основе данных мы подберем и поставим необходимое оборудование. Мы можем предложить несколько брендов: Zuxel, Cisco, TP-Link и D-Link, Aruba, Microtik, Huawei.

После этого мы установим точки доступа, настроим сеть и проверим её работу. В случае необходимости мы внесем необходимые изменения и ещё раз проверим работоспособность.

Мы выполняем работы максимально быстро и даем гарантию на свои работы.

Источник