Авторизация

ПРОТОКОЛ PPTP, НАСТРОЙКА, ОСОБЕННОСТИ, ВОЗМОЖНОСТИ ПРИМЕНЕНИЯ

протокол pptp настройка и особенностиПротокол PPTP (Point-to-point tunneling protocol) - наиболее старый и распространенный в мире VPN протокол. Его особенность состоит в использовании двух одновременных соединений. Первое соединение это непосредственная передача пользовательских данных при помощи протокола GRE. Второе соединение по порту TCP 1723 требуется для управления протоколом GRE.

Из-за потребности в двух одновременных соединениях, одно из которых использует GRE, протокол PPTP с трудом переодолевает различные препятствия в виде межсетевых экранов и правил трансляции IP адресов. К сожалению, существуют провайдеры, чье оборудование не может передавать трафик по протоколу GRE.

Если хотите узнать - работает ли у вашего провайдера GRE, то озакомьтесь с информацией о том, как по логам нашей системы обнаружить проблему с передачей GRE. Смотрите здесь - Как понимать логи.

 

Протокол PPTP и методы аутентификации - безопасные и не очень

В протоколе PPTP могут быть использованы различные методы аутентификации. Среди них PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, но мы не будем описывать их особенности. Отметим лишь, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.

Наряду с этими с таким методами аутентификации, PPTP является наиболее распространенным протоколом. Он поддерживается на абсолютном большинстве устройств и операционных систем.Особенно часто его можно встретить на устройствах, выпущенных до 2018 года.

 

Шифрование данных в протоколе PPTP и связь с методами аутентификации

В составе PPTP может использоваться (а может и не использовтаься) шифрование данных. Для этого используется протокол MPPE (Microsoft Point-to-Point Encryption). MPPE поддерживает 40, 56 и 128 битные ключи. Однако, далеко не все устройства, использующие PPTP, умеют работать с шифрованием. Многие старые модели модемов и домашних маршрутизаторов не поддерживают шифрование MPPE.

Стоит отметить, что при работе с нашей системой удаленного доступа VPNKI  для использования соединения с шифрованием вам необходимо в настройках соединения:
- использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE).

Для соединения без шифрования вам необходимо:
- использовать авторизацию CHAP и указать, что шифрование использоваться не будет.

Другие комбинации протоколов авторизации и шифрованния в нашей системе работать не будут.

 

Компрессия данных в PPTP

Данные, передаваемые по протоколу PPTP, могут подвергаться компрессии. Она поможет более эффективно использовать полосы пропускания канала. В качестве протокола компрессии используется Microsoft Point-to-Point Compression (MPPC).

 

Автоматическая проверка работоспособности VPN соединения

Так как соединение PPTP осуществляется поверх протокола TCP, то сессионные механизмы самого TCP осуществляют контроль за наличием VPN соединения.

В случае обрыва сессии TCP VPN интерфейс на сервере и клиенте (ppp) будет выключен. В реализации протокола также обычно присутствует таймер keepalive – пакетов, которые проверяют наличие активного VPN соединения.

 

Разрыв VPN соединения PPTP

Разрыв VPN соединения осуществляется при пропадании сессии TCP или по истечению значения различных таймеров.

К таким таймерам может относиться абсолютный таймер длительности соединения. Существует таймер неактивности – idle-timeout (времени, в течение которого по VPN соединению не передавался трафик). Еще присутствует таймер keepalive  - отсутствие ответа на пакет keepalive.

 

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании существующего.

Такое переустановление соединения может:

  • не происходить;
  • происходить безусловно;
  • происходить при появлении на маршрутизаторе или компьютере трафика, который предназначен для другой стороны туннеля (dial-on-demand).

 

 

Плюсы:

  • широко распространен;
  • просто настраивается;
  • есть шифрование и компрессия;
  • быстрый.

 

Минусы:

  • не все провайдеры корректно пропускаютт GRE;
  • слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2.

 

PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление VPN соединения будет возможно лишь с указанных в списке IP адресов.

 

Далее о других протоколах VPN подключений:

L2TP;

IPsec;

OpenVPN.

 

 

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:

ВАШИ ОТЗЫВЫ О СИСТЕМЕ УДАЛЕННОГО ДОСТУПА И VPN ТУННЕЛЕЙ

Артур
Артур
Парни, отличный сервис! Нужно было быстро получить удаленный доступ к видеокамере на даче. Статический белый адрес провайдер не дает. Там стройка и мне важно смотреть за работой. Подключился к вам и настроил смартфон. Правда сразу VPN соединение не заработало. Поначалу сложно было понять как у вас все это работает. Поэтому написал в форум и админ решил мою проблему с VPN подключением за несколько минут! Теперь смотрю за процессом стройки на даче через смартфон или компьютер. Статический IP адрес провайдера совсем оказался не нужен. Спасибо за инструкции и помощь! Буду осваивать вашу систему дальше. С уважением, пользователь Артур
Валерий
Валерий
Спасибо! Я использую Ваш сервис в проекте автономного автоматического мобильного поста контроля проезда лесовозного автотранспорта непосредственно в лесном массиве "Егерь-1". В процессе отладки ПО действующего прототипа возникла прямая необходимость VPN соединения и передачи данных из MySQL. Вопрос создания серверной базы или платного сервиса VPN в бюджете не рассматривался. Поэтому Ваш сервис оказался единственной альтернативой, давшей возможность провести полевые испытания прототипа. Этот прототип позволил сформулировать ТЗ как для железа, так и для ПО, включая интерфейс оператора. Огромное Вам человеческое СПАСИБО! Вряд ли меня можно назвать специалистом в области IT, поэтому доступность и разъяснения на Вашем портале и форуме оказали решающее значение в реализации VPN соединения, открыв возможность завершить испытания со знаком "+".
Александр
Александр
Ура, Мужики-и! У меня всё получилось! Спасибо Вам за доброе дело и квалифицированную помощь на форуме! Настроил VPN соединение и подключился! Теперь буду использовать вашу систему на компьютере и смартфоне у себя в офисе, дома и на даче! Удачи в будущих разработках! С меня реклама и благодарности... С Уважением! Александр.