#3 IT @ Służba Zdrowia - Przesadne zabezpieczanie + Eltel = Masz Przekichane
20.08.2013 | aktual.: 21.08.2013 08:35
Ostatnie tygodnie były dość spokojne. Jak zwykle, wysłanie statystyk, poprawa błędów. Nawet zabrałem się za przygotowanie szafy pod instalację oczekiwanego serwera. Który to niestety nie wiadomo kiedy przyjdzie. Wszystko przez rozchorowaną szefową. Lecz jak to bywa po spokojnych dniach przychodzi burzą. I to jeszcze w momencie gdy mój współpracownik poszedł na urlop.
ELTEL
Wszystko zaczęło się już od 1.08, w jednej z lokalizacji zaczęły się schody. Problemy z modemem, ciągłe zrywanie połączenia itp. Telefon i zgłoszenie awarii, pan przyjechał zobaczył i stwierdził.
Panowie nowy kabel musicie położyć, ten jest pewnie uszkodzony bo z podłączenia prosto pod linie jest wszystko ok.
No to zakasane rękawy i kładziemy nowe kable w korytach przy suficie. Niestety ktoś podczas kładzenia kabli przy budowie nie pomyślał za mądrze. A skrzynka wygląda tak.
[img=panel] [join]
+
[img=puszka]Miejsca tyle co kot napłakał. Według wszystkich umownych zasad powinny się niej znajdować tylko kabel przyłączeniowy i cross na nasze kable i dalej w budynek do centralki niestety tak nie jest ;). Akurat w tej placówce znajdują się 4 linie telefoniczne + gsm. Na 1'szej linii znajduje się dsl. Dodatkowo w samej skrzynce są kable które nie powinny się tam znaleźć + jakieś dziwne crossy.
Postaram się to wyjaśnić + narysować w mspaint ;)
Skrzynka TP -> rozdzielacz -> pętla z filtrem + wyjście na modem -> Skrzynka TP -> Centrala -> Skrzynka TP -> A dalej nie wiadomo. Pomijam te "cofki" kabli telefonicznych.
W sumie telefony nie powinny mnie obchodzić tylko internet więc nie zagłębiam się co to za kable są w skrzynce ;) Niech pan spec od "konserwacji sprzętu elektronicznego" się tym zajmuje.
Zgodnie z życzeniem pana z ELTEL'a położyliśmy 2 x 30m kabla cat5. Jeden dodatkowo, ponieważ w naszym pobliżu kładli kable światłowodowe :) może kiedyś ....
Koniec marzeń! Wracamy do naszego 8/1.
Po tym drugim kablu wraca sygnał po filtrze do skrzynki i centrali.
Telefon, do technika że kable są położone niech przyjedzie podłączyć. Pan przyjechał gdy na terenie był jeszcze drugi informatyk, zapiał kable w swojej puszce i pojechał w pizdu, a resztę czyli kable przy modemie olał. Oczywiście problem bo trzeba to podłączyć. Co powinno być sprawą technika ale że drugi inf to olał więc mieliśmy trochę roboty. Półtorej godziny zabawy aby to działało. I fakt działało do zeszłego poniedziałku. Telefon za telefonem, restarty linii i w końcu w środę pan łaskawie się zjawił zobaczył i z tekstem.
Modem padł trzeba wymienić.
W tym momencie mi ręce opadły. Nie można było wcześniej ? No ale fakt przyniósł nowego Siemensa podłączył podzwonił. Działa ! ...... Z jednym wyjątkiem.
Przesadne zabezpieczenie sieci.
Nie działa net po podłączeniu do routeru mikrotika. Co jest kurde blaszka grane. Oczywiście zaraz telefony od kierowniczki oraz wredne spojrzenia lekarzy. Chwila ogarnięcia i pierwsza myśl jaka przychodzi do głowy " Zmiana adresu MAC ! ".
W woli wyjaśnienia, urządzenie to Mikrotik RB450G.
Urządzenie tanie ale o bardzo obszernych parametrach konfiguracyjnych. Pierwszy ethernet robi za port WAN, lecz został prawdopodobnie skonfigurowany na sztywno z adresem MAC starego modemu. Drugi odpowiada za sieć wewnętrzną. A trzeci za internet w kawiarni + dla pacjentów w salach ( a przynajmniej miał odpowiadać ), odseparowany od sieci firmowej.
No to ok podłączamy się, co może być w tym trudnego. Winbox i jedziemy, z jednym ale. Mój współpracownik który miał do niego dostęp jest na urlopie. A to zadzwonimy. No spoko, hasła nie pamięta dokładnie a na urlop nie brał laptopa z keepassem + muszę mieć jego ip = zmiana adresu MAC, parę minut i już mamy jego ip + mac, lecz dalej nie działa. A blokada po złym logowaniu to godzina. Zirytowanie na maksa i co tu robić ? Nie mam żadnego wolnego routera przecież na firmie. Wyjście ? Kupno tymczasowo TP‑Link'a 740 z portem WAN a jego konfiguracja zajęła może 15 minut. Łącznie z przekierowaniem portów ( jedyną bolączką jest tylko! 16 przekierowań ) i ustaleniem podziału łącza. Działa !. Sprawdzenie jeszcze zabezpieczeń, jest ok. Może nie tak szybko jak na mikrotiku ale działa poprawnie. Sprawdzenie tylko drukarek sieciowych czy są wykrywane, serwerka nas, jest OK. Mogę iść do domu po 10 godzinach w pracy ! Do zalet mogę powiedzieć że nareszcie pracownicy nie narzekają na wolne działanie internetu. Bo jaki jest sens limitowanie łącza prawie na maksa. Aktualnie jest to 90kb/s na użytkownika, RDP zjada ok 20‑30 max, co daje nam spory zapas nawet na łączu 8/1 Mb.
A co z mikrotikiem ? Jest na płycie głównej miejsce do zwarcia obwodu do resetowania ustawień. Lecz i tu pojawił się szkopuł :). Opcja ta została wyłączona w ustawieniach, czemu nie mam pojęcia. Pewne z przewrażliwienia. Dzięki czemu mam router za ponad 300 zł który nie nadaje się do pracy i czeka na powrót współpracownika aby go przekonfigurował.
Analiza błędów
1. Brak dostępu obu informatyków do urządzeń sieciowych.
2. Brak dostępu do jakichkolwiek informacji na temat statusu modemu DSL.
3. Brak łącza zapasowego.
AD 3
Rozwinę ten punkt, ponieważ nie każdy może być zaznajomiony z wymogami prowadzenia Elektronicznej Dokumentacji Medycznej. Jednym z nich jest stały dostęp do dokumentacji dla osób uprawnionych. Czego najprostszym rozwiązaniem jest posiadanie łącz zapasowych.
Podsumowanie
W planach na najbliższe tygodnie są prace typowo porządkowe, likwidacja swichy tam gdzie się da, porządkowanie kabli w szafach serwerowych. Np tej :