ПРОТОКОЛ PPTP, НАСТРОЙКА, ОСОБЕННОСТИ, ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ

Протокол PPTP (Point-to-point tunneling protocol) - наиболее старый и распространенный в мире VPN протокол. Его особенность состоит в использовании двух одновременных соединений. Первое соединение это непосредственная передача пользовательских данных при помощи протокола GRE. Второе соединение по порту TCP 1723 требуется для управления протоколом GRE.

Из-за потребности в двух одновременных соединениях, одно из которых использует GRE, протокол PPTP с трудом переодолевает различные препятствия в виде межсетевых экранов и правил трансляции IP адресов. К сожалению, существуют провайдеры, чье оборудование не может передавать трафик по протоколу GRE.

Если хотите узнать - работает ли у вашего провайдера GRE, то озакомьтесь с информацией о том, как по логам нашей системы обнаружить проблему с передачей GRE. Смотрите здесь - Как понимать логи.

Протокол PPTP и методы аутентификации - безопасные и не очень

В протоколе PPTP могут быть использованы различные методы аутентификации. Среди них PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, но мы не будем описывать их особенности. Отметим лишь, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.

Наряду с этими с таким методами аутентификации, PPTP является наиболее распространенным протоколом. Он поддерживается на абсолютном большинстве устройств и операционных систем.Особенно часто его можно встретить на устройствах, выпущенных до 2018 года.

Шифрование данных в протоколе PPTP и связь с методами аутентификации

В составе PPTP может использоваться (а может и не использовтаься) шифрование данных. Для этого используется протокол MPPE (Microsoft Point-to-Point Encryption). MPPE поддерживает 40, 56 и 128 битные ключи. Однако, далеко не все устройства, использующие PPTP, умеют работать с шифрованием. Многие старые модели модемов и домашних маршрутизаторов не поддерживают шифрование MPPE.

Стоит отметить, что при работе с нашей системой удаленного доступа VPNKI  для использования соединения с шифрованием вам необходимо в настройках соединения:
- использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE).

Для соединения без шифрования вам необходимо:
- использовать авторизацию CHAP и указать, что шифрование использоваться не будет.

Другие комбинации протоколов авторизации и шифрованния в нашей системе работать не будут.

Компрессия данных в PPTP

Данные, передаваемые по протоколу PPTP, могут подвергаться компрессии. Она поможет более эффективно использовать полосы пропускания канала. В качестве протокола компрессии используется Microsoft Point-to-Point Compression (MPPC).

Автоматическая проверка работоспособности VPN соединения

Так как соединение PPTP осуществляется поверх протокола TCP, то сессионные механизмы самого TCP осуществляют контроль за наличием VPN соединения.

В случае обрыва сессии TCP VPN интерфейс на сервере и клиенте (ppp) будет выключен. В реализации протокола также обычно присутствует таймер keepalive – пакетов, которые проверяют наличие активного VPN соединения.

Разрыв VPN соединения PPTP

Разрыв VPN соединения осуществляется при пропадании сессии TCP или по истечению значения различных таймеров.

К таким таймерам может относиться абсолютный таймер длительности соединения. Существует таймер неактивности – idle-timeout (времени, в течение которого по VPN соединению не передавался трафик). Еще присутствует таймер keepalive  - отсутствие ответа на пакет keepalive.

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании существующего.

Такое переустановление соединения может:

• не происходить;
• происходить безусловно;
• происходить при появлении на маршрутизаторе или компьютере трафика, который предназначен для другой стороны туннеля (dial-on-demand).

Плюсы:

• широко распространен;
• просто настраивается;
• есть шифрование и компрессия;
• быстрый.

Минусы:

• не все провайдеры корректно пропускаютт GRE;
• слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2.

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление VPN соединения будет возможно лишь с указанных в списке IP адресов.

Далее о других протоколах VPN подключений:

L2TP;

IPsec;

OpenVPN.

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:

• Доступ из Интернет через HTTP и SOCK5 прокси;

• Публикацию URL по которому вы будете попадать на свое домашнее устройство;

• Проброс порта TCP, который будет вести на устройство в вашей сети.