Шифрованный VPN-туннель к провайдеру: MS-CHAPv2, MPPE, MPPC и все, все , все...

Гм... http://pptpclient.sourceforge.net/howto-fedora.phtml?

> MPPE - это Microsoft Point-to-Point Encryption, метод шифрования данных при > передаче по VPN-каналу. Тоже довольно популярен, даже используется в некоторых > аппаратных шлюзах, роутерах и т.д. Разумеется очень рекомендуется к применению, > особенно при построении туннеля через "дикий" Интернет.

Правильнее было бы сказать, что это вынужденная мера из-за ориентации провайдеров на Windows-юзеров и не более того. Сам то майкрософтовский VPN дырявый и неудобный для серьезных задач. Если нужно связать две СВОИ сети, а не прокладывать VPN до провайдера, тогда лучше использовать настоящий линуксовый VPN (Free/OpenSWAN к примеру).

Отличная статья. Я в свое время сильно намучался пока у меня заработал VPN.

Есть только одно замечание. Если ставить Slackware 9.1, linux-2.4.22 + linux-2.4.22-mppe-mppc-0.98.patch.gz то такая конфигурация не будет работать с BSD системаим (при включенном на них MPPC). Пофиксили только в версии linux-2.4.22-mppe-mppc-0.99.patch.gz .

Так что я рекомендую минимальную рабочую конфигурацию: Slackware 9.1, linux-2.4.25 + linux-2.4.25-mppe-mppc-0.99.patch.gz.

Расскажи про его дырки чтоль (урлы)

Чем меньше используются мелкомягкие методы - тем лучше.

Чесно говоря, до сих пор не могу понять зачем шифровать траффик, который идет к провайдеру или от него. Можно подумать, что провайдер может гарантировать конфиденциальность или защиту 8-)

Нормальный VPN для Linux - это Free/OpenSwan. Для BSD, если не ошибаюсь, racoon или встроенный.

Зачем еще и мелкомягкий? Тем более, что только до провайдера... 8-)

"зачем шифровать траффик, который идет к провайдеру или от него"

Для домашних сетей, что по целым районам раскинулись...

http://ssl.stu.neva.ru/psw/crypto/pptp.html

Статья СТАРАЯ, сейчас Microsoft усовершенствовала свой протокол, но большинство концептуальных дырок оставила. Сейчас их продукты никто такому серьезному анализу даже не подвергает - и так все с ними ясно. В области VPN их репутация безнадежно утеряна.

А вот Checkpoint-Firewall кто-нибудь пользует? У нас его контора, когда денег немерянно было купила, и теперь не хочет с ним расстаться. И блин, из-на этого призодится либо с 2 ноутбуками езить - один c W2k, поскольку клиент только под вынь, либо сидеть без доступа на работу.

OpenVPN - многоплатформенно и везде пашет, надежно, есть сжатие шифрование и куча всего. Подходит для связывания разных операционок.
Недостаток - нельзя сделать один сервис с логинами для раздачи адресов как в том же mpd.
Но для связывания двух сеток подходит идеально.

> Расскажи про его дырки чтоль (урлы)

Ик! http://www.schneier.com/pptp.html

> OpenVPN - многоплатформенно

Продолжаю ...е дерьмо. Подумайте сколько там переключений контекста,
если учесть, что ipsec в ядре. К тому же UDP это Вам не AH с ESP.

>А вот Checkpoint-Firewall кто-нибудь пользует? У нас его контора, когда >денег немерянно было купила, и теперь не хочет с ним расстаться. И >блин, из-на этого призодится либо с 2 ноутбуками езить - один c W2k, >поскольку клиент только под вынь, либо сидеть без доступа на работу.

Только под вынь родной клиент от чекпойнта. Написали опенсорц-клиент, который у меня работает под Linux/BSD.
http://os.mallek.de/ - далее выбираешь агента fwsa :)

2Merc: >http://os.mallek.de/ - далее выбираешь агента fwsa :)

Это интересно, но как этим пользоваться? Там всех инструкций: для unix наберите make. Что оно должно делать-то собственно?

О! Только что неделю назад трахался с этим делом. Ставил сервак в
контору, где пользуют местного $M провайдера. Провайдерами их с трудом
можно назвать. Так, какие-то недоделанные,но шибко предприимчивые
студенты ;)

Ну дык вот, внешний реальный IP дают только через VPN-PPTP. В свете
всего сказанного и бегло просмотрев статейку могу сказать одно - в ней
не описано и половина подводных камней, которые встретились.

Номер раз: динамическая перестройка таблицы настройка роутинга.

Так и хочется спросить этого фагота: а ты реально работал с тем,
что ты накатал в статье? Возможно тебе повезло, и твой провайдер не
такой замороченный, как тот, что попался мне.

У меня такая схема:
eth0 10.4.1.20 - к провайдеру
10.4.1.1 - провайдерский шлюз
eth1 192.168.0.1 - IP сервера в локальной сети
провайдерский сервер pptp - 213.30.150.1
для ppp0 он выдаёт IP 10.5.1.20, а с наружи мой сервер доступен по
IP 213.50.40.10 (айпишники реальные, но я перетасовал цифры).
Во как...Без бутылки не разберёшься.

И крутая проблема номер два (пока нерешённая):
Как организовать стандартный файервол для сети, учитывая всю эту
катавасию? Во-первых нужно включать пропуск GRE-пакетов. Во-вторых,
в файерволе нельзя сразу установить дефольный полиси DROP, так как
тунель сразу рубится! В третьих, с чем я столкнулся, даже с учётом
предыдущих двух пунктов, pptp-соединение разрывается мгновенно после
запуска файеворла. Я пока так и не осилил этот момент...

Еще нужно не забыть про поддержку в ядре модуля arc4. Хотя если ядро не самосборное оно там наверное уже есть.

Установи pptp_conntrack из p-o-p.

Во, я так и знал, что разрулить эти грабли стандартными средствами
не получится. Ок, спасибо за наводку.

ЗЫ: фагот, выброси нафиг свою статейку. От неё только ещё больше гимора.
Ты видишь, какие тут реально грабли-то? ;)

> Еще нужно не забыть про поддержку в ядре модуля arc4. Хотя если ядро не самосборное оно там наверное уже есть.

Хм, смотря какое ядро. Модуль arc4 появился только в 2.4.26.

Сорри. Просто я использовал патчи с http://www.polbox.com/h/hs001/. Так у меня без этого модуля не заработало.

>Ты видишь, какие тут реально грабли-то?

нет

>Так и хочется спросить этого фагота: а ты реально работал с тем, что ты накатал в статье

а ты спроси

Не спрашиваю, ибо ясно как день, что не работал. Ни слова про роутинг.
defaultroute в pppd options. Оно не сработает, если в сети уже есть
default gw через ethernet-соединение, а почти наверняка обязан быть
в случае, если pptp-сервер в другой сети. Я уж не говорю, про firewall
для pptp...

Эх, значит всё запущено ещё больше, чем я предполагал ;)

Короче, то, что написано в статье имеет крайне малую полезность.
Любой пионер может найти эту инфу в инете за полминуты. А вот
реальные подводные камни опущены ;(

>Не спрашиваю, ибо ясно как день, что не работал

В статье рассматривается подключение нормального ПОЛЬЗОВАТЕЛЯ к нормальному провайдеру. Если один из них или оба - тормоз, вжатый до полика, это частный случай, их всех не рассмотришь.

>Оно не сработает, если в сети уже есть default gw через ethernet-соединение, а почти наверняка обязан быть в случае, если pptp-сервер в другой сети.

Да, я в курсе. Но в данном случае, пользоватеть ну никак не может быть "в другой сети". И нечего мне рассказывать, как ты сервер подключал. Раз такой умный - не для тебя статья, вот и все.

А фаервол тут причем вообще? Если этот вопрос пользователя интересует, то он сам им и задасться. А ppp0 мало чем от eth0 отличается.

>Любой пионер может найти эту инфу в инете за полминуты

Где ж ты был, водолаз, когда В Админ и Генерал про это спрашивали?

Давай, накатай мне "реальных камней", почитаю, поучусь у старшего.

Ну вообще то, так откудова ты скачивал pptp-client-а, описано как нужно делать... Хе..Хе.. Мартышкин труд.

Толк от статьи есть, это комментарии, на счёт модуля arc4. Сам на такие грабли напарывался... Не понимал в чём беда и вродь как нигде не описано. Потом стал каждый пункт впросматривать в конфиге и вдруг натолкнуло что то на мысль, вклчить в ядро все алгоритмы шифрования что есть, до этого было всё вырублено. И наконец то заработало... :-))

Описание, как описание, пользовательский уровень(всмысле писал юзверь). Про настройку vpn есть материалы на оппеннете.

Присоединяюсь к критиковавшему анонимусу. Сам трахался с VPN недельку в своё время... Про роутинг в статье ничего не сказано, а это большая проблема... Сколько я себе крови попортил, пока роуты настроил! Не сказано, почему крайне желательно отключать bsdcompression и deflate... Потому что сервер может радостно согласиться на компрессию, несмотря на то что понятия о ней не имеет! И будет туннель падать каждые 3 минуты... remotename лучше писать IP-шником. Да, неудобно если vpn-сервер меняется, зато надёжнее. А ещё бывает крайне полезно прописать mtu, иначе полинета может быть недоступно.

В общем, "статья" ни о чём. Мне в своё время она ничем не помогла бы.

>Про настройку vpn есть материалы на оппеннете.

ага, особенно про настройку клиента, *а не сервера* под Линукс для простого смертного. Прям немеряно :)

Странные вы ребята немножко (имхо). Ну зачем пользователю умный роутинг? Человек, привыкший тискать кнопки в Винде клал с прибором на роутинг, а Инета хочется. Вот для таких персон и статья. Простая и без наворотов.

Но даже и так, пусть роутинг нужен. В чем проблема-то?

>Гм... http://pptpclient.sourceforge.net/howto-fedora.phtml?

Да согласен, в RH/FC/ASP/SUSE все гораздо проще:

1) Ставишь последний pptp

2) pptp-command (следовать инструкциям)

3) pptp-command start

4) если нужен маскарадинг, то добавляешь iptables -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

5) все!.. (про существование pptp-php-gtk-20040102-rc1.i386.rpm я не знал ;-)

>eth0 10.4.1.20 - к провайдеру 10.4.1.1 - провайдерский шлюз eth1 192.168.0.1 - IP сервера в локальной сети провайдерский сервер pptp - 213.30.150.1 для ppp0 он выдаёт IP 10.5.1.20, а с наружи мой сервер доступен по IP 213.50.40.10 (айпишники реальные, но я перетасовал цифры). Во как...Без бутылки не разберёшься.

У меня еще хуже - реальный IP не выдается, а выдается IP локалки провайдера, тоже долго мучался с роутингом, но сейчас все кажется простым. Тоже думал статейку написать в "Мой компьютер", Украина, но обломался и видимо зря :-) т.к. в доках, статьях не все подводные камни описаны, может и мой опыт кому-нибудь помог бы.

А кто что скажет про CIPE - только его настройка есть в GUI redhat-config-network?

>Не спрашиваю, ибо ясно как день, что не работал. Ни слова про роутинг. defaultroute в pppd options. Оно не сработает, если в сети уже есть default gw через ethernet-соединение, а почти наверняка обязан быть в случае, если pptp-сервер в другой сети.

Ерунда, defaultroute автоматом делает роут на ppp0 по умолчанию, а при pptp-command stop возвращает старые настройки.

>Я уж не говорю, про firewall для pptp...

Вот тут я согласен - это вам не "два пальца об асфальт" ;-)

>В статье рассматривается подключение нормального ПОЛЬЗОВАТЕЛЯ к нормальному провайдеру.

Но надо было хотя бы свой случай описать, может кому и помогло бы: я чтобы свою сетку настроить 4-5 различных примеров в Инете надыбал - и то до многого сам доходил + HOWTO + iptables man

>Если один из них или оба - тормоз, вжатый до полика, это частный случай, их всех не рассмотриш

Да случаи бывают тяжелые: у меня, например, провайдер во FreeBSD (MPD) сидит, а я в Linux - я ему не мог помочь, а он мне ;-)

>В общем, "статья" ни о чём. Мне в своё время она ничем не помогла бы.

Поддерживаю. Но подобные статьи, я думаю, вообще сложно писать: действительно, случаев много и все не опишешь - нужно просто разбираться в вопросе.

Именно ни о чём.Куда лучше было бы просто перевести fault-tree с pptp-client`ского сайта и их доки - было бы лучше чем эта филькина грамота..

>>Но даже и так, пусть роутинг нужен. В чем проблема-то?

проблема в том,что обычно у человека default route прописан.Если запускать при этом,то ничего не работает. Не написано что pppd надо патчить,где его брать...

> Про настройку vpn есть материалы на оппеннете.

Какого vpn? Про pptp материалов в сети крайне мало. Я не нашёл ничего
более толкового, чем дока к pptp-клиенту, но там далеко не всё, что нужно.

> Человек, привыкший тискать кнопки в Винде клал с прибором на роутинг

Правда? Дык эта... ненастроенный роутинг ещё больше клал на человека,
привыкшего жать кнопки... Интересно, кто кому больше нужен? ;))

> Вот для таких персон и статья.

Я боюсь, что таких пользователей линукса, как ты описываешь просто нет
в природе ;) А если есть, то это не пользователи линукса. А у тебя ещё
более жёсткое условие: такому пользователю ещё вдруг понадобился
pptp-клиент ;) А вот кому нормальная документация действительно нужна,
так это бедным сисадминам, которым приходится работать с виндовозными
провайдерами, толкающими pptp-vpn.

>Я боюсь, что таких пользователей линукса, как ты описываешь просто нет в природе

Ладно, с тобой все ясно, уважаемый. Хватит, надоел уже.

Мой домашний провайдер не виндовозник например. Просто большинство клиентов в домашней сети используют вин. Админу же статья подскажет какие маны покурить. Кстати насчет файрвола:

iptables -A INPUT -p tcp --syn -i ppp0 -j DROP iptables -A INPUT -p udp --dport 1:1000 -i ppp0 -j DROP iptables -A INPUT -p icmp -s ! some_ip_net -i ppp0 -j DROP iptables -A FORWARD -j DROP

Для домашнего пользователя хватит имхо.

Не, не хватит. Про GRE забыл. Блин, вы хоть на себе тестируйте свои
советы ради приличия...

Дык на себе и тестировал. Укажи конкретно какое правило по-твоему будет блокировать GRE.

> Дык на себе и тестировал. Укажи конкретно какое правило по-твоему будет блокировать GRE.

Честно говоря, мы о разном болтаем. Мне совсем не интересен подъём
pptp-vpn на десктопной машине. Я про сервер/роутер в локальнйо сети.
А твои правила файервола там абсолютно бесполезны.

> какое правило по-твоему будет блокировать GRE
-A FORWARD -j DROP ;)
надо еще FORWARD -p 47 и -t nat -A POSTROUTING

> Но в данном случае, пользоватеть ну никак не может быть "в другой сети" Вот у меня сеть - провайдер районный, набрал уже 6 (ШЕСТЬ) подсетей (по 255 пользователей в каждой), поскольку адресов просто не хватает (начиналось всё, видимо, с одной подсети). В моей подсети стоит роутер, который у меня 1) Шлюз 2) вторичный ДНС (перичный - у провайдера в "основной" подсети) И у знакомого в соседнем районе такая же ботва.

Я просто хочу вот что сказать - это не "единичные" случаи.

>надо еще FORWARD -p 47 и -t nat -A POSTROUTING

Не понял правда зачем роутинг на машине юзера подключенного через VPN ну да ладна :-). Что касается GRE то AFAIK он ходит через eth0 - домашнюю сеть, но никак не через виртуальный ppp0, так что мои правила, которые конечно не шедевр, его не блокируют, в чем например netstat меня и убеждает. Так что для юзера (не для сервера) их имхо хватит.

Пилять, запарили пионеры с ЛОР!