Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

#3 IT @ Służba Zdrowia - Przesadne zabezpieczanie + Eltel = Masz Przekichane

Ostatnie tygodnie były dość spokojne. Jak zwykle, wysłanie statystyk, poprawa błędów.
Nawet zabrałem się za przygotowanie szafy pod instalację oczekiwanego serwera. Który to niestety nie wiadomo kiedy przyjdzie. Wszystko przez rozchorowaną szefową. Lecz jak to bywa po spokojnych dniach przychodzi burzą. I to jeszcze w momencie gdy mój współpracownik poszedł na urlop.

ELTEL

Wszystko zaczęło się już od 1.08, w jednej z lokalizacji zaczęły się schody. Problemy z modemem, ciągłe zrywanie połączenia itp. Telefon i zgłoszenie awarii, pan przyjechał zobaczył i stwierdził.

Panowie nowy kabel musicie położyć, ten jest pewnie uszkodzony bo z podłączenia prosto pod linie jest wszystko ok.

No to zakasane rękawy i kładziemy nowe kable w korytach przy suficie. Niestety ktoś podczas kładzenia kabli przy budowie nie pomyślał za mądrze. A skrzynka wygląda tak.

+

Miejsca tyle co kot napłakał. Według wszystkich umownych zasad powinny się niej znajdować tylko kabel przyłączeniowy i cross na nasze kable i dalej w budynek do centralki niestety tak nie jest ;).
Akurat w tej placówce znajdują się 4 linie telefoniczne + gsm. Na 1'szej linii znajduje się dsl. Dodatkowo w samej skrzynce są kable które nie powinny się tam znaleźć + jakieś dziwne crossy.

Postaram się to wyjaśnić + narysować w mspaint ;)

Skrzynka TP -> rozdzielacz -> pętla z filtrem + wyjście na modem -> Skrzynka TP -> Centrala -> Skrzynka TP -> A dalej nie wiadomo. Pomijam te "cofki" kabli telefonicznych.

W sumie telefony nie powinny mnie obchodzić tylko internet więc nie zagłębiam się co to za kable są w skrzynce ;) Niech pan spec od "konserwacji sprzętu elektronicznego" się tym zajmuje.

Zgodnie z życzeniem pana z ELTEL'a położyliśmy 2 x 30m kabla cat5. Jeden dodatkowo, ponieważ w naszym pobliżu kładli kable światłowodowe :) może kiedyś ....

Koniec marzeń! Wracamy do naszego 8/1.

Po tym drugim kablu wraca sygnał po filtrze do skrzynki i centrali.

Telefon, do technika że kable są położone niech przyjedzie podłączyć.
Pan przyjechał gdy na terenie był jeszcze drugi informatyk, zapiał kable w swojej puszce i pojechał w pizdu, a resztę czyli kable przy modemie olał. Oczywiście problem bo trzeba to podłączyć. Co powinno być sprawą technika ale że drugi inf to olał więc mieliśmy trochę roboty.
Półtorej godziny zabawy aby to działało. I fakt działało do zeszłego poniedziałku.
Telefon za telefonem, restarty linii i w końcu w środę pan łaskawie się zjawił zobaczył i z tekstem.

Modem padł trzeba wymienić.

W tym momencie mi ręce opadły. Nie można było wcześniej ? No ale fakt przyniósł nowego Siemensa podłączył podzwonił. Działa ! ...... Z jednym wyjątkiem.

Przesadne zabezpieczenie sieci.

Nie działa net po podłączeniu do routeru mikrotika. Co jest kurde blaszka grane. Oczywiście zaraz telefony od kierowniczki oraz wredne spojrzenia lekarzy.
Chwila ogarnięcia i pierwsza myśl jaka przychodzi do głowy " Zmiana adresu MAC ! ".

W woli wyjaśnienia, urządzenie to Mikrotik RB450G.

Urządzenie tanie ale o bardzo obszernych parametrach konfiguracyjnych.
Pierwszy ethernet robi za port WAN, lecz został prawdopodobnie skonfigurowany na sztywno z adresem MAC starego modemu. Drugi odpowiada za sieć wewnętrzną. A trzeci za internet w kawiarni + dla pacjentów w salach ( a przynajmniej miał odpowiadać ), odseparowany od sieci firmowej.

No to ok podłączamy się, co może być w tym trudnego. Winbox i jedziemy, z jednym ale.
Mój współpracownik który miał do niego dostęp jest na urlopie. A to zadzwonimy.
No spoko, hasła nie pamięta dokładnie a na urlop nie brał laptopa z keepassem + muszę mieć jego ip = zmiana adresu MAC, parę minut i już mamy jego ip + mac, lecz dalej nie działa. A blokada po złym logowaniu to godzina.
Zirytowanie na maksa i co tu robić ? Nie mam żadnego wolnego routera przecież na firmie. Wyjście ? Kupno tymczasowo TP-Link'a 740 z portem WAN a jego konfiguracja zajęła może 15 minut. Łącznie z przekierowaniem portów ( jedyną bolączką jest tylko! 16 przekierowań ) i ustaleniem podziału łącza. Działa !.
Sprawdzenie jeszcze zabezpieczeń, jest ok. Może nie tak szybko jak na mikrotiku ale działa poprawnie. Sprawdzenie tylko drukarek sieciowych czy są wykrywane, serwerka nas, jest OK. Mogę iść do domu po 10 godzinach w pracy !
Do zalet mogę powiedzieć że nareszcie pracownicy nie narzekają na wolne działanie internetu. Bo jaki jest sens limitowanie łącza prawie na maksa. Aktualnie jest to 90kb/s na użytkownika, RDP zjada ok 20-30 max, co daje nam spory zapas nawet na łączu 8/1 Mb.

A co z mikrotikiem ? Jest na płycie głównej miejsce do zwarcia obwodu do resetowania ustawień. Lecz i tu pojawił się szkopuł :). Opcja ta została wyłączona w ustawieniach, czemu nie mam pojęcia. Pewne z przewrażliwienia. Dzięki czemu mam router za ponad 300 zł który nie nadaje się do pracy i czeka na powrót współpracownika aby go przekonfigurował.

Analiza błędów

1. Brak dostępu obu informatyków do urządzeń sieciowych.

2. Brak dostępu do jakichkolwiek informacji na temat statusu modemu DSL.

3. Brak łącza zapasowego.

AD 3

Rozwinę ten punkt, ponieważ nie każdy może być zaznajomiony z wymogami prowadzenia Elektronicznej Dokumentacji Medycznej. Jednym z nich jest stały dostęp do dokumentacji dla osób uprawnionych. Czego najprostszym rozwiązaniem jest posiadanie łącz zapasowych.

Podsumowanie

W planach na najbliższe tygodnie są prace typowo porządkowe, likwidacja swichy tam gdzie się da, porządkowanie kabli w szafach serwerowych. Np tej :

 

inne

Komentarze

0 nowych
PAMPKIN   10 #1 20.08.2013 17:22

Popatrzcie tyle sprzętu w służbie zdrowia, aż likwidować/porządkować trzeba?! ;)

dzikiwiepsz   11 #2 20.08.2013 17:33

Polska służba zdrowia działa raczej słabo chyba nikt co do tego nie ma wątpliwości, po za tym jakoś średnio to widzę służbe zdrowia razem z technologią to chyba kiepskie połaczenie przynajmniej w polsce, to tylko moja opinia jak by co.

kleksiq   4 #3 20.08.2013 19:04

@PAMPKIN, ano tyle sprzętu :), często gęsto niepotrzebne switche które można usunąć, a akurat ostanie zdjęcie to aktualna szafa w której są 2 serwery rack + 2 serwery nas + dysk usb + switch + ups rack ;). Jak podłączono tak zostawiono.

parranoya   8 #4 20.08.2013 19:55

Nie powiedziałbym, że to są przesadne zabezpieczenia. Nie narzekaj tylko się ciesz, że masz w firmie kogoś kto poważnie myśli o bezpieczeństwie sieci ;-)

kleksiq   4 #5 21.08.2013 08:37

@parranoya : co fakt to fakt ale po roku pracy mógłbym dostać hasła na wszystkie urządzenia a nie domyślać się jakie są :)).
Moim zdaniem jedynym urządzeniem do którego nie powinienem mieć dostępu to jego laptop i vice versa.

997   5 #6 21.08.2013 09:50

Po pierwsze to pisze się: Gwoli wyjaśnienia a nie w woli wyjaśnienia :-) http://poradnia.pwn.pl/lista.php?id=7985

Ale dosyć złośliwości. Co do łącza zapasowego... to nie takie hop siup. Po pierwsze trzeba się nieźle napracować, po drugie trzeba sporo zapłacić, po trzecie, żeby było po bożemu, musi to też iść innymi kanałami. Po czwarte przydałby się jakiś system failover żeby praca była nieprzerwana... Koszty, koszty, koszty - chyba lekarze musieli by się do tego wszystkiego dorzucać ;-)

A przesadne bezpieczeństwo to to nie jest. Jest to po prostu złe wykonanie. Laptop? c'mon. Chyba, że przyczepiony na stałe do szafy w serwerowni. Umieszczasz gdzieś jakiegoś PCta z dostępem do pewnych usług i służy on tylko do konfiguracji itd. Robisz na nim osobne konta dla każdego administratora i tak dalej i można działać :-)

  #7 21.08.2013 12:16

@997
"Co do łącza zapasowego... to nie takie hop siup."
Z OpenBSD to jest hop siup. Średnio rozgarnięty admin po przeczytaniu tych dwóch manuali da sobie radę:
http://openbsd.org/faq/pf/carp.html
http://www.openbsd.org/cgi-bin/man.cgi?query=ifstated.conf&sektion=5&arc...

997   5 #8 21.08.2013 14:26

@parranoya
Jeśli to ma być w pełni funkcjonalne zapasowe łącze to OpenBSD nie wystarczy. Nie zapominajmy, że oprócz awarii łącza możemy też uświadczyć awarii urządzenia. Jeśli masz, powiedzmy dwa access switche dobrze je połączyć w stack z opcją zasialania dwóch switchy z jednego zasilacza. Do tego każdy z access switchy powinien mieć po jednym wyjściu na każde z dwóch łączy, potem dodatkowe 2 core switche, firewall (czyli np. OpenBSD), potem musisz zapłacić za stworzenie i utrzymanie dodatkowego łącza... Wszystko zależy generalnie od tego jak poważnie podchodzimy do zapewnienia ciągłości pracy ;-))) jeśli chcesz mieć naprawdę odporny system, to niestety ale musisz się torchę wykosztować. Chociażby na zapasowe łącze, któego być może nigdy nie użyjesz, na dodatkowe opcje w urządzeniach aktywnych, z których też być może nigdy nie skorzystasz. A wiadomo jak szefostwo do tego podchodzi ;-)

ziomalnsx   3 #9 21.08.2013 22:32

Nasza SZ (służba zdrowia) idzie "ku lepszemu"... teoria teoria... a teraz praktyka EWUŚ znowu miał awarię.

Murphy   3 #10 26.08.2013 09:59

Zamiast Painta do schematów z darmowych najlepiej nadaje się Dia. :)

KaisuM   7 #11 28.08.2013 20:33

Pomógłbyś mi Z ułożeniem kabli w mojej szafie?

https://skydrive.live.com/redir?resid=FEEACA3E1ED04918!6541&authkey=!AP6TCVx...

kleksiq   4 #12 29.08.2013 12:50

Do Poznania mam trochę za daleko :) ale spoko z chęcią bym się za to zabrał ^^.
W ogóle stwierdzam że wolę techniczne sprawy niż siedzieć i konfigurować systemy ;))

  #13 02.09.2013 09:02

Na złego montera ELTELa trafiliście. Pech. Ale nad diagramami faktycznie popracuj :P