Почему жизнь такова? Почему PPTP а не PPPoE или L2TP?
Почему провайдеры (которые в районных сетях) часто используют PPTP и только его, почему не используется более современный L2TP (хотя это ещё понятно, не шибко хорош он в ХРюшке, чтоли почему почти не используют PPPoE?
Так же интересно, чем PPPoE лучше, чем тот же L2TP.
Провайдер моего городка объяснил это тем, что найдется умник который поднимет у себя pppoe сервер и перехватит пароли. а так как в большинстве домов стоят тупые свичи, то отгородится от этого не получится.
но найти этого умника и отбанить будет проще простого
но найти этого умника и отбанить будет проще простого
а толку-то? это же какие-нибудь школьники будут.
одного только отбанил, а уже десяток новых подрос.
ну если быть строгим, то привязываться к MACу, негодяям не выдавать IPов, пускать в инет только зарегистрированных в DHCPах, периодически отправлять гулять по сети PADI (PPPoE Active Discovery Initiation) пакеты, кто ответит — тот негодяй.
план простой, да и потом всем это наскучит
кстати, не так много школьников разберутся с этой кухней.
Если быть строгим — то PPTP хватит. После этого все проблемы ethernet-слоя становятся несущественными, и нафиг не нужны все описанные тобой меры (тем более что некоторые из них причиняют больше неудобства пользователям, чем злоумышленникам).
Я хз почему, но на всех играх, основанных на движке первой халвы наблюдается ряд багов при использовании именно пптп. С пппое и при привязке к маку все ок. Потому я пптп тоже не люблю
Ты сравнивал непосредственно PPTP и PPPoE при всех прочих равных — у одного и того же провайдера, с одним и тем же каналом, в один и тот же месяц?
Да, именно так. Даже в один и тот же час, с разных компов(и в разных городах!) и на одном и том же чередуя логины
если быть совсем строгим, PPTP — старьё (afair, мелкософтовое). главный минус — использование 2х протоколов транспортного уровня, установка 2х сессий без особой необходимости (прям как в ftp).
L2TP — хорошая замена, которая (без шифрования) вроде таки легко настраивается и под ХРюшей. почему не его?
почему не используют? у меня на родине например PPPoE широко используют
а в московской корбине на которой сижу сейчас и PPTP и L2TP, на выбор)
вопрос — что мешает использовать остальным? почему так мало используют?
> Ты сравнивал непосредственно PPTP и PPPoE при всех прочих равных —
> у одного и того же провайдера, с одним и тем же каналом, в
> один и тот же месяц?
Да. PPTP тормознее, менее надёжен и на стороне провайдера
отжирает вдвое-втрое больше ресурсов.
—
«Мы диалектику учили не по Гегелю.
Бряцанием боёв она врывалась в стих. «
где можно почитать аргументы?
Да я вполне могу поверить, что «и на стороне провайдера
отжирает вдвое-втрое больше ресурсов», и что, если с PPPoE 486 компьютер может обслужить десять тысяч клиентов, то с PPTP хватит только на три-пять тысяч.
Настрой две системы: условного провайдера PPTP и условного провайдера PPPoE.
Посчитай, сколько раз у тебя инкапсулируются и декапсулируются пакеты.
Прочитай спецификацию PPTP, посмотри, что происходит при разрыве
управляющего соединения.
Можешь устроиться на работу в провайдер и посмотреть, как это происходит
в живую.
—
«Vyroba umelych lidi, slecno, je tovarni tajemstvi.»
Лучше vlan-per-user и ip-unnumbered для экономии айпишников внешних — так, чтобы воткнул провод и инет работает.
> Лучше vlan-per-user
А ещё лучше — сто орудий на километр фронта.
—
. Я работаю антинаучным аферистом.
Оно не требует чего-то экстраординарного — на доступе нужен управляемый свитч с виланами и dot1q(китайцы такие уже научились производить по бросовой цене на агрегации — один Cat 3550 сумеет стерминировать 500-600 юзеров. Зато — работает, можно сказать, «искаропки». И всякие пакости типа подмены мака шлюза идут лесом.
этот вариант прокатывает, если только строится сеть, для уже охватившей дешёвыми и глупыми свитчами пару районов Москвы сети переход на эту чудесную схему (я был приятно удивлён, когда воткнулся к qwerty) — слишком большая роскошь.
Почему провайдеры (которые в районных сетях) часто используют PPTP и только его, почему не используется более современный L2TP (хотя это ещё понятно, не шибко хорош он в ХРюшке, чтоли почему почти не используют PPPoE?
Типы интернет подключений.
a). Dynamic, он же DHCP или «динамический». Самый простой тип, когда никаких настроек вводить не требуется и пользователь просто втыкает кабель в компьютер, который получает все настройки автоматически.
b). Static, он же «фиксированный IP-адрес» или «статический». В этом случае требуется предварительная конфигурация параметров «Интернет протокола TCP/IPv4» согласно настройкам, предоставленных провайдером и включающих обычно IP-адрес, маску подсети, шлюз и DNS-сервер.
2. VPN-подключение.
a). PPPoE. Для подключения к интернету необходимо создать подключение через мастер настройки, выбрав «Подключить к Интернету» → «Установить подключение вручную».
b). PPTP. Для подключения к интернету необходимо создать подключение через мастер настройки, выбрав «Подключиться к рабочему месту» → «Подключение к виртуальной частной сети (VPN)», далее указать адрес VPN-сервера.
c). L2TP. Еще один тип подключения, набирающий популярность. Настройка аналогична PPTP, только после создания подключения, необходимо в его свойствах на вкладке «Сеть» выбрать «L2TP IPSec VPN».
3. Комбинированный тип подключения.
a). PPPoE + Dynamic. Интернет предоставляется через PPPoE, локальный адрес в сети провайдера получается автоматически. Обычно так же динамически раздаются маршруты для доступа к определенным ресурсам через тот или иной интерфейс (посредством т.н. DHCP option).
b). PPPoE + Static. Интернет предоставляется через PPPoE, локальный адрес в сети провайдера задается вручную, статически. Маршруты прописываются также вручную посредством команды «route add . » в командной строке.
c). PPTP + Dynamic. Интернет предоставляется через PPTP, локальный адрес в сети провайдера получается автоматически. Маршруты аналогично могут раздаваться динамически через DHCP option или прописывать вручную (редко).
d). PPTP + Static. Интернет предоставляется через PPTP, локальный адрес в сети провайдера задается вручную, статически. Маршруты прописываются тоже вручную.
i). L2TP + Dynamic. Интернет предоставляется через L2TP, локальный адрес в сети провайдера получается автоматически. Маршруты аналогично могут раздаваться динамически через DHCP option или прописывать вручную (редко).
f). L2TP + Static. Интернет предоставляется через L2TP, локальный адрес в сети провайдера задается вручную, статически. Маршруты прописываются тоже вручную.
 — если для подключения интернета вы вручную не запускаете подключение к интернету (ничего не делаете для входа в интернет), где указаны ваш логин и пароль для входа в интернет — значит, что у вас простое подключение по локальной сети (1). В этом случае, если вы (или кто-либо другой: мастер, знакомый или настройщик от провайдера) ничего предварительно не настраивали и просто пользуетесь интернетом, у вас тип Dynamic (1a). — если вам необходимо было прописывать в настройках локального подключения IP-адрес и другие параметры, у вас тип подключения Static (1b). — убедиться, что вы не ошиблись, можно дважды щелкнув в «Сетевых подключениях» по локальному подключению к сети, нажать «Свойства» и дважды щелкнуть по «Протокол Интернета (TCP/IP)». Если там указано «Получить IP-адрес автоматически», то у вас Dynamic (1a). — если там вручную вписаны IP-адрес и другие параметры, то у вас Static (1b). — если для доступа в интернет вы вручную запускаете подключение, то у вас есть VPN. Тип (PPPoE/PPTP/L2TP) можно узнать щелкнув на иконку данного подключения в трее справа-внизу экрана (при активном интернете) и выбрать закладку «Сведения». — если у вас есть VPN и провайдер предоставляет дополнительные ресурсы в своей сети (FTP серверы, IPTV и пр.), то у вас, вероятно, Dual access (3). Определив тип VPN как указано выше, далее в «Сетевых подключениях» дважды щелкните по локальному подключению к сети, нажмите «Свойства» и дважды щелкните по «Протокол Интернета (TCP/IP)». Если там указано «Получить IP-адрес автоматически», у вас VPN + Dynamic (3a, 3c или 3i). — если там вручную вписаны IP-адрес и другие параметры, у вас VPN + Static (3b, 3d или 3f). |
Услуги для Вас!
Вы всегда можете задать вопрос техническому специалисту, заполнив форму:
Выбираем протокол для VPN. Сравнение OpenVPN, PPTP, L2TP/IPsec и IPsec IKEv2
Многие ресурсы, рассказывая пользователям о VPN, как правило, рекомендуют OpenVPN с шифрованием 256 бит, объясняя, что это самый надежный протокол. Но на самом деле это не совсем протокол, а на итоговую безопасность VPN влияют несколько показателей, и каждый из них очень важен.
Мы начинаем цикл о выборе безопасного VPN, в рамках которого рассмотрим показатели, влияющие на итоговую безопасность VPN, и в их разрезе расскажем о некоторых уязвимых местах VPN-туннеля.
Протокол туннелирования
Как правило, выбор VPN начинается с выбора протокола туннелирования (далее ПТ). Сегодня на рынке имеется несколько вариантов ПТ для реализации виртуальной частной сети: OpenVPN, PPTP, L2TP/IPsec, IPsec IKEv2 и другие, не получившие широкого распространения.
Сразу хотелось бы отметить, что OpenVPN не совсем верно называть протоколом туннелирования, это программное обеспечение для создания виртуальной сети, но пусть будет протокол, дабы избежать путаницы. Что такое протокол? Представьте себе ситуацию: вы встретились с человеком и хотите с ним пообщаться, но говорите на разных языках. Разумеется, вы не поймете друг друга, и речи о каком-либо полноценном взаимодействии идти не может. Протокол – это и есть язык взаимодействия, в данном случае между компьютером и VPN-сервером.
PPTP – первый протокол, поддерживаемый на платформе Windows. Протокол имеет слабое шифрование и может быть взломан как спецслужбами, так и квалифицированными злоумышленниками. Из плюсов стоит отметить отсутствие необходимости устанавливать дополнительное программное обеспечение и скорость работы. PPTP VPN требует минимальных ресурсов и по сравнению с OpenVPN почти не расходует заряд при использовании на мобильных устройствах. Почему этот протокол до сих пор используется?
Главная его проблема – слабая защита передачи ключа, но это не значит, что любой желающий может взломать шифрование. PPTP имеет и свои плюсы: простоту в настройке и использовании, неплохую защиту и смену IP-адреса. PPTP, может, и не самый защищенный протокол, но определенно лучше, чем ничего.
Что о нем надо знать:
Он медленнее других из-за двойного инкапсулирования (создается IPsec-туннель, а данные ходят через L2TP);
Использует стандартные порты, и потому его легко может заблокировать интернет-провайдер или системный администратор;
Операционные системы имеют встроенную поддержку этой технологии, нет необходимости ставить дополнительное ПО;
При его правильной настройке нет информации о возможности расшифровать данные.
Мы его не рекомендуем и не используем из-за скорости, потому много рассказывать о нем не станем.
IPsec IKEv2
Что такое IKEv2 в этой связке? Это, если говорить очень просто, авторизация через сертификат, и она, к сожалению, поддерживается не всеми устройствами.
Что о нем надо знать:
Работает быстрее, нежели L2TP/IPsec,
Сопоставим с OpenVPN,
Поддерживается не всеми операционными системами (хотя сам IPsec поддерживается везде);
При правильной настройке его не могут расшифровать ни спецслужбы, ни злоумышленники (по крайней мере, так считается в среде IT-специалистов).
Стоит отметить поддержку IPsec на всех популярных операционных системах как положительный момент. Но есть по этому поводу и другое мнение: в отличие от встроенных систем шифрования диска, наличие встроенных систем IPsec не вызывало возмущений со стороны спецслужб. Его реализовали даже в Windows, где всегда воздерживались от инструментов защиты данных, недоступных для взлома спецслужбам. Этот факт многим кажется подозрительным.
OpenVPN – бесплатное решение с открытым исходным кодом, которое, по признанию большинства специалистов, является самым лучшим на сегодняшний день для создания частной виртуальной сети (VPN).
Что надо знать об OpenVPN:
Не входит в состав стандартных дистрибутивов современных операционных систем, потому требует установки дополнительного программного обеспечения;
При правильной настройке его не смогут расшифровать ни спецслужбы, ни злоумышленники;
При нестандартных настройках сложно блокируется.
Да, OpenVPN требует установки дополнительного программного обеспечения, но это проверенный временем софт с открытым исходным кодом, установка и настройка которого не создаст проблем даже новичку.
OpenVPN работает на всех современных операционных системах: Windows, macOS, Linux, Android, iOS.
Выбор транспортного протокола для OpenVPN. TCP или UDP?
Зашифрованная информация, созданная при помощи OpenVPN, может передаваться по одному из двух протоколов: UDP или TCP. VPN-провайдеры обычно предлагают оба варианта, сопровождая их комментарием «TCP надежней, UDP быстрее».
Представьте себе, что вы рубите лес для постройки дома и вам надо спускать срубленные деревья вниз по реке до места строительства. Вы можете просто бросать их в воду, и ваш помощник будет ловить их на месте стройки ‒ это будет самым быстрым и простым способом. Но если бревно застрянет в процессе доставки или будет похищено, вы не узнаете этого, разве что когда вам не хватит бревен на постройку дома. А если вы присвоите каждому бревну номер и ваш помощник будет звонить после получения каждого бревна, уведомляя об успешной доставке, в этом случае, даже если какие-то бревна будут потеряны, вы узнаете об этом незамедлительно и отправите замену. Но согласитесь, такой способ отправки бревен займет больше времени, а потому, если река широкая и не извилистая, лучше использовать простой и быстрый способ.
Аналогичная ситуация и в выборе протокола: UDP – быстрый способ без подтверждения доставки пакетов, его мы рекомендуем использовать при стабильном интернете.
TCP не такой быстрый, но зато доставка каждого пакета подтверждается, он рекомендуется при плохой связи. TCP необходим в тех ситуациях, когда UDP-трафик блокируется провайдером или настройками роутера.
Альтернативный вариант OpenVPN TCP по 443 порту не может быть заблокирован, так как этот порт используется для всех HTTPS-соединений, и пользователи просто не смогут открывать сайты. Мы в своих решениях ставим OpenVPN UDP, но если в течение 15 секунд не получается подключиться при помощи UDP, автоматически начинается TCP-соединение. Позже мы поговорим про TLS authentication, порт соединения, генерацию сессионного ключа, алгоритмы шифрования, длину ключа, аутентификацию данных и другие составляющие безопасного VPN-соединения.
PPTP vs L2TP vs OpenVPN vs SSTP
Недавно я искал информацию об отличиях существующих VPN-технологий и наткнулся на эту статью. Здесь вкратце описаны преимущества и недостатки основных VPN, очень легко и доступно. Предлагаю сообществу перевод статьи.
VPN-провайдеры обычно предлагают на выбор несколько типов подключения, иногда как часть различных тарифных планов, а иногда в составе единого тарифного плана. Цель этой статьи – провести обзор доступных вариантов VPN и помочь понять основы используемых технологий.
Заметка про длину ключа шифрования
Грубо говоря, длина ключа, используемого при создании шифра, определяет, сколько времени потребуется для взлома с помощью прямого перебора. Шифры с более длинными ключами требуют значительно больше времени для перебора, чем более короткие («брутфорс» означает перебор всех возможных комбинаций, пока не будет найдена верная).
Сейчас почти невозможно найти VPN-шифрование с использованием ключа длиной менее 128 бит и все сложнее найти 256-битное шифрование в предлагаемых OpenVPN-решениях, ключи которых бывают даже 2048 бит. Но что означают эти цифры на практике, 256-битное шифрование действительно более безопасное, чем 128-битное?
Краткий ответ таков: при практическом применении – нет. Это правда, что взлом 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. Это означает, что потребуется 3.4х10^38 операций (количество комбинаций в 128-битном ключе) – подвиг для существующих компьютеров и даже в ближайшем будущем. Если бы мы применили самый быстрый суперкомпьютер (по данным 2011 года его скорость вычислений 10.51 петафлопс), нам потребовалось бы 1.02х10^18 (около 1 миллиарда) лет, чтобы взломать 128-битный AES-ключ путем перебора.
Так как на практике 128-битный шифр не может быть взломан путем перебора, было бы правильно говорить, что ключа такой длины более чем достаточно для большинства применений. Только настоящие параноики (например, чиновники в правительстве, имеющие дело со сверхсекретными документами, которые должны оставаться в тайне в течение следующих 100 или более лет) могут использовать 256-битное шифрование (правительство США, например, использует сертифицированный NIST 256-битный AES-шифр).
Так почему же все более часто встречаются VPN-провайдеры, предлагающие 256-битное шифрование (не говоря уже о 2048-битном)? Особенно если учесть, что использование шифрования с 256-битным или более длинным ключом требует больше вычислительных ресурсов. Ответ прост – маркетинг. Проще продать VPN-услуги с более длинным ключом шифрования.
Крупные корпорации и правительства могут испытывать потребность в дополнительной безопасности, обеспечиваемой длинными ключами, но для среднего домашнего пользователя VPN с ключом 128 бит более чем достаточно.
Различные шифры имеют уязвимости, которые могут быть использованы для быстрого взлома. Также могут быть использованы специальные программы, такие как клавиатурные шпионы. Подводя итоги, можно сказать, что использование шифрования с ключом более 128 бит на самом деле вряд ли имеет значение для большинства пользователей.
PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.
Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера
OpenVPN
OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.
OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему.
С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.
- гибко настраивается
- очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
- может работать сквозь файрволлы
- может использовать широкий спектр алгоритмов шифрования
- необходимо стороннее программное обеспечение
- может быть неудобен в настройке
- ограниченная поддержка портативными устройствами
SSTP
Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.
- очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
- полностью интегрирован в Windows (начиная с Windows Vista SP1)
- имеет поддержку Microsoft
- может работать сквозь файрволлы
- работает только в Windows-среде
Заключение
PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.