PPTP (Point-to-point tunneling protocol) - наиболее старый и распространенный в мире VPN протокол. Его особенность состоит в использовании двух одновременных соединений. Первое соединение это непосредственная передача пользовательских данных при помощи протокола GRE, а второе это соединение по порту TCP 1723 для управления протоколом GRE.
Из-за потребности в двух одновременных соединениях, одно из которых использует GRE, который не является широко распространенным протоколом (наиболее распространены TCP или UDP) протокол PPTP с трудом переодолевает различные препятствия в виде межсетевых экранов и правил трансляции IP адресов у провайдеров связи. К сожалению, существуют провайдеры, чье оборудование не может передавать трафик по протоколу GRE. Если хотите узнать - работает ли у вашего провайдера GRE, то озакомьтесь с информацией о том, как по логам нашей системы обнаружить проблему с передачей GRE - как понимать логи.
Аутентификация
В протоколе PPTP могут быть использованы различные методы аутентификации – PAP, CHAP, MS-CHAPv1, MS-CHAPv2. Они по-разному строят обмен информацией, мы не будем описывать их особенности, а лишь отметим, что PAP и MS-CHAPv1 являются наиболее ненадежными методами аутентификации.
Наряду с этими ограничениями, PPTP является наиболее распространенным протоколом, который поддерживается на абсолютном большинстве устройств и операционных систем.
Шифрование данных
В составе PPTP может использоваться (а может и не использовтаься) шифрование данных протоколом MPPE (Microsoft Point-to-Point Encryption). MPPE поддерживает 40, 56 и 128 битные ключи. Однако, далеко не все устройства, использующие PPTP умеют использовать шифрование. Многие старые модели модемов и домашних маршрутизаторов не поддерживают шифрование MPPE.
Стоит отметить, что при работе с нашей системой удаленного доступа VPNKI, для использования соединения с шифрованием вам необходимо в настройках соединения:
- использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE)
Для соединения без шифрования вам необходимо:
- использовать авторизацию CHAP и указать, что шифрование использоваться не будет.
Другие комбинации протоколов авторизации и шифрованния в нашей системе работать не будут.
Компрессия данных
Данные, передаваемые внутри PPTP, могут подвергаться компрессии для более эффективного использования полосы пропускания канала. В качестве протокола компрессии используется Microsoft Point-to-Point Compression (MPPC).
Автоматическая проверка работоспособности VPN соединения
Так как соединение PPTP осуществляется поверх протокола TCP, то сессионные механизмы самого TCP осуществляют контроль за наличием соединения. В случае обрыва сессии TCP VPN интерфейс на сервере и клиенте (ppp) будет выключен. В реализации протокола также обычно присутствует таймер keepalive – пакетов, которые проверяют наличие активного VPN соединения.
Разрыв VPN соединения
Разрыв VPN соединения осуществляется или при пропадании сессии TCP или по истечению значения различных таймеров. К таким таймерам может относиться абсолютный таймер длительности соединения, таймер неактивности – idle-timeout (времени, в течение которого по VPN соединению не передавался трафик) или таймер keepalive - отсутствие ответа на пакет keepalive.
Автоматическое установление разорванного VPN соединения
Важным аспектом является способность клиентского ПО переустановить VPN соединение при пропадании действующего. Такое переустановление соединения может:
- не происходить
- происходить безусловно
- происходить при появлении на маршрутизаторе или компьютере трафика, который предназначен для другой стороны туннеля (dial-on-demand)
Плюсы:
- широко распространен
- просто настраивается
- есть шифрование и компрессия
- быстрый
Минусы:
- не все провайдеры корректно пропускаютт GRE
- слабая устойчивость к атакам на авторизацию по протоколу MS-CHAPv2
PS: Для предотвращения атак взлома MS-CHAPv2, в системе VPNKI вы можете использовать возможность "Белый список". В этом случае, установление соединения будет возможно лишь с указанных в списке IP адресов.
Далее о других протоколах VPN подключений:
ДОПОЛНИТЕЛЬНО
Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя: