Minkevich Опубликовано 14 июня, 2008 · Жалоба Здравствуйте! Вопрос для многих простой. В чём разница PPTP и PPPoE? Фактически как понимаю - суть одна и та же, но вот только PPPoE более защищён? На данный момент хотим строить домашнюю сеть, с использование обычных коммутаторов, которые могут разве что инфу по SNMP отправлять и порты свои отключать. Т.е. у одного дома будут адреса из одного адрсного пространства. А вот для подключения к инету - хотим использовать pppoe либо pptp. Ранее ставили Catalyst 2950, делили клиентов на виланы (каждому свой), раздавали по DHCP по 8 айпишников сразу. Но.... дорогое решение, на самом деле... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 14 июня, 2008 (изменено) · Жалоба если они могут SNMP, то и виланы наверное? :) Изменено 14 июня, 2008 пользователем Nafanya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 14 июня, 2008 · Жалоба Разница вытекает из сути протоколов. При подключении через pppoe соединение не вывалится, если злоумышленник подменит IP своей машины на адрес pptp-сервера. Но последний может находиться за сколь угодно большим кол-вом роутеров, в то время, как pppoe - только в том же физическом сегменте, что и клиент. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 15 июня, 2008 · Жалоба pppoe как следует из названия работает поверх Ethernet, а pptp поверх IP. со всеми вытекающими. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 15 июня, 2008 (изменено) · Жалоба pppoe соединение не вывалится, если злоумышленник подменит IP своей машины на адрес pptp-сервера.Зато злоумышленник может поднять свой pppoe сервер, достаточно глупых пользователей он даже сможет обмануть. Важно то, что на живых соединениях это никак не отразится. А локализация pppoe в рамках физического сегмента уже упрощает его отлов. Да и искать левые сервера достаточно просто - тот же pppoe-discovery в кроне или вечном цикле.P.S. Кстати, какой смысл злоумышленнику поднимать свой сервер, чтоб отлавливать новые соединения? Если для авторизации не используется PAP, максимум, что он может сделать - выступить наравне с настоящим сервером в качестве одной из альтернатив для клиента, то не так уж страшно, имхо. Изменено 15 июня, 2008 пользователем EvilShadow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 июня, 2008 · Жалоба Evilshadow, у Windows по умолчанию PAP разрешен. Если клиент сделает коннект на сервер "вора", а "вор" принудительно настроит PAP-only, клиент отдаст пароль. И превед. Частично защититься можно - принуждая клиентов отключать PAP, что несколько геморно. Другим вариантом видятся сертификаты и EAP/TLS, но пока плохо представляю как это работает с pppoe. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 16 июня, 2008 · Жалоба Надо разрешать PADO только с "аплинков". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 июня, 2008 · Жалоба Далеко не все оборудование умеет фильтровать PADO. Есть примеры кто умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 16 июня, 2008 · Жалоба Думаю, много кто умеет. Вопрос цены. Что до PAP, то да - это проблема. Еще печальнее, что преднастроенный профиль ВПН средствами виндозного админпака можно сделать только для pptp, оставляя настройку pppoe на клиента :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Minkevich Опубликовано 16 июня, 2008 · Жалоба если они могут SNMP, то и виланы наверное? :) ну..... минус в этом есть тоже - 4096... хотя тоже да...можно ведь просто и правильный роутнг настроить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 16 июня, 2008 · Жалоба >кто умеет ? Все кто умеют фильтровать по маске содержимого пакета. Популярные DES3528 помоему это умеют. (могу ошибаться) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 16 июня, 2008 · Жалоба Ключевое отличие между PPPoE и PPTP - PPPoE требует, чтобы клиент и сервер видели друг друга напрямую (не через роутер), а для PPTP они могут быть расположены в разных подсетях. Поэтому PPTP лучше подходит для больших сложных сетей. Типичный пример - Корбина. В маленьких сетях PPPoE, на мой взгляд, предпочтительнее: 1) проще в настройке и поддержке, так как клиенту не требуется никакая предварительная настройка TCP/IP на LAN-интерфейсе, 2) меньше нагружает сервер, 3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение, 4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 16 июня, 2008 · Жалоба Поэтому PPTP лучше подходит для больших сложных сетей.Спорное утверждение. В больших и сложных много абонентов, на которых нужен далеко не один сервер. И тут уже не так важно, то ли выводить несколько пппое в разные сегменты (или даже одни и те же разными интерфейсами), то ли делать несколько пптп и раскидывать запросы по ним, например, через ДНС.4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP.А некоторые не умеют одновременно локалку и пппое. А локалку и пптп - умеют. Хотя если иметь дело с достаточно адекватными машинками, типа dir-100 (холивар не начинать!), то и то, и другое работает нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 16 июня, 2008 · Жалоба Ключевое отличие между PPPoE и PPTP - PPPoE требует,чтобы клиент и сервер видели друг друга напрямую (не через роутер), а для PPTP они могут быть расположены в разных подсетях. Поэтому PPTP лучше подходит для больших сложных сетей. Типичный пример - Корбина. В маленьких сетях PPPoE, на мой взгляд, предпочтительнее: 1) проще в настройке и поддержке, так как клиенту не требуется никакая предварительная настройка TCP/IP на LAN-интерфейсе, 2) меньше нагружает сервер, 3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение, 4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP. pppoe легко релеится, если нужно и если железо умеет.В linux - pppoe-relay в Cisco http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1027129 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bda Опубликовано 17 июня, 2008 · Жалоба Ключевое отличие между PPPoE и PPTP - PPPoE требует,чтобы клиент и сервер видели друг друга напрямую (не через роутер), а для PPTP они могут быть расположены в разных подсетях. Поэтому PPTP лучше подходит для больших сложных сетей. Типичный пример - Корбина. В маленьких сетях PPPoE, на мой взгляд, предпочтительнее: 1) проще в настройке и поддержке, так как клиенту не требуется никакая предварительная настройка TCP/IP на LAN-интерфейсе, 2) меньше нагружает сервер, 3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение, 4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP. pppoe легко релеится, если нужно и если железо умеет.В linux - pppoe-relay в Cisco http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1027129 Прошу прощения, а можно тут поподробнее, на тему релея pppoe... Желательно на пальцах... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 17 июня, 2008 · Жалоба Эээ... сложно на пальцах. Но если по простому - можно пробросить pppoe через роутер, просто запустив программку, которая будет пробрасывать пакеты туда-сюда. Что-то типа бриджа, но без самого бриджа, для pppoe. В деталях можно посмотреть в исходниках, у меня нужды ее использовать не было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lingvist Опубликовано 19 июня, 2008 · Жалоба Можно защититься от перехвата авторизации в PPPoE Авторизация происходит путем рассылки определенных Ethernеt-фреймов. Эти фреймы можно блокировать на свичах, а разрешать только ВАШЕМУ серверу авторизации их отправлять. Т.е. пользователь спрашивает в сети, какие сервисы (серверы) присутствуют, и ответы к нему прийдут только от тех устройств, какие Вы разрешите на свичах. Теория хорошо здесь переведена и дотошно все расписано: http://www.nag.ru/goodies/articles/pppoe.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 20 июня, 2008 · Жалоба Далеко не все оборудование умеет фильтровать PADO. Есть примеры кто умеет? на DES-3526 запросто можно вот так ... воткнуть туда фильтрацию PADO - вообще не вопрос :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bda Опубликовано 30 июня, 2008 · Жалоба Эээ... сложно на пальцах. Но если по простому - можно пробросить pppoe через роутер, просто запустив программку, которая будет пробрасывать пакеты туда-сюда. Что-то типа бриджа, но без самого бриджа, для pppoe.В деталях можно посмотреть в исходниках, у меня нужды ее использовать не было. Прошу помощи, т.к. сеть планируется большая (например одна - 8К абонентов, другие больше), соответственно стою перед выбором - релеить pppoe (пока не уверен что это нормальное решение) или поднимать все на ppptp.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kerogaz Опубликовано 1 июля, 2008 · Жалоба PPPOЕ на мой взгляд в большой сети городить бредово, остаётся ставить pptp кластер, с рассчётом 1 машинка (или связка сетёвка&ядро проца, если многоядрённик) на ~700 жал. Я бы вообще pptp юзал только для аутентификации, (ну и для белых ипов) а после того как юзер авторизуется - включал ему NAT до поры пока комп не ребутнёт и пинал с сервака вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 1 июля, 2008 · Жалоба Юзаем пппое. В качестве терминации (a.k.a. BRAS) - Cisco 7301. Абонентов за 6-8к (если не врут продажники). Проблем нет. Пока 2 Цыски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 1 июля, 2008 · Жалоба Некоторые роутеры не умеют быть pptp-клиентом, например циска... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 1 июля, 2008 · Жалоба Некоторые роутеры не умеют быть pptp-клиентом, например циска... говорят что умеет :) http://dreamcatcher.ru/index.php?option=co...06&Itemid=4 вот достану софт для своей старенькой 827-4V и попробую ) а так под рукой ничего нет свободного :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 1 июля, 2008 · Жалоба Я в курсе. Но это через (_!_) и не документировано. Есть и другие рутеры, которые не умеют pptp, мне попадались... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 1 июля, 2008 · Жалоба Я в курсе. Но это через (_!_) и не документировано.Есть и другие рутеры, которые не умеют pptp, мне попадались... а не в курсе почему так? Cisco вместе с микрософтом его разрабатывало. м.б. это некое политическое решение? p.s. да сохо рутеров навалом, которые толком не умеют ничего :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...