Перейти к содержимому
Калькуляторы

pptp или pppoe в чём разница?

Здравствуйте!

Вопрос для многих простой.

В чём разница PPTP и PPPoE?

Фактически как понимаю - суть одна и та же, но вот только PPPoE более защищён?

 

На данный момент хотим строить домашнюю сеть, с использование обычных коммутаторов, которые могут разве что инфу по SNMP отправлять и порты свои отключать.

Т.е. у одного дома будут адреса из одного адрсного пространства. А вот для подключения к инету - хотим использовать pppoe либо pptp.

Ранее ставили Catalyst 2950, делили клиентов на виланы (каждому свой), раздавали по DHCP по 8 айпишников сразу.

Но.... дорогое решение, на самом деле...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если они могут SNMP, то и виланы наверное? :)

Изменено пользователем Nafanya

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разница вытекает из сути протоколов. При подключении через pppoe соединение не вывалится, если злоумышленник подменит IP своей машины на адрес pptp-сервера. Но последний может находиться за сколь угодно большим кол-вом роутеров, в то время, как pppoe - только в том же физическом сегменте, что и клиент.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppoe как следует из названия работает поверх Ethernet, а pptp поверх IP. со всеми вытекающими.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
pppoe соединение не вывалится, если злоумышленник подменит IP своей машины на адрес pptp-сервера.
Зато злоумышленник может поднять свой pppoe сервер, достаточно глупых пользователей он даже сможет обмануть.

Важно то, что на живых соединениях это никак не отразится. А локализация pppoe в рамках физического сегмента уже упрощает его отлов. Да и искать левые сервера достаточно просто - тот же pppoe-discovery в кроне или вечном цикле.

P.S. Кстати, какой смысл злоумышленнику поднимать свой сервер, чтоб отлавливать новые соединения? Если для авторизации не используется PAP, максимум, что он может сделать - выступить наравне с настоящим сервером в качестве одной из альтернатив для клиента, то не так уж страшно, имхо.

Изменено пользователем EvilShadow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Evilshadow, у Windows по умолчанию PAP разрешен. Если клиент сделает коннект на сервер "вора", а "вор" принудительно настроит PAP-only, клиент отдаст пароль. И превед.

Частично защититься можно - принуждая клиентов отключать PAP, что несколько геморно.

Другим вариантом видятся сертификаты и EAP/TLS, но пока плохо представляю как это работает с pppoe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Далеко не все оборудование умеет фильтровать PADO. Есть примеры кто умеет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Думаю, много кто умеет. Вопрос цены.

Что до PAP, то да - это проблема. Еще печальнее, что преднастроенный профиль ВПН средствами виндозного админпака можно сделать только для pptp, оставляя настройку pppoe на клиента :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
если они могут SNMP, то и виланы наверное? :)

ну..... минус в этом есть тоже - 4096...

хотя тоже да...можно ведь просто и правильный роутнг настроить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>кто умеет ?

Все кто умеют фильтровать по маске содержимого пакета.

Популярные DES3528 помоему это умеют. (могу ошибаться)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ключевое отличие между PPPoE и PPTP - PPPoE требует,

чтобы клиент и сервер видели друг друга напрямую (не через роутер),

а для PPTP они могут быть расположены в разных подсетях.

 

Поэтому PPTP лучше подходит для больших сложных сетей.

Типичный пример - Корбина.

 

В маленьких сетях PPPoE, на мой взгляд, предпочтительнее:

1) проще в настройке и поддержке, так как клиенту не требуется

никакая предварительная настройка TCP/IP на LAN-интерфейсе,

2) меньше нагружает сервер,

3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение,

4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Поэтому PPTP лучше подходит для больших сложных сетей.
Спорное утверждение. В больших и сложных много абонентов, на которых нужен далеко не один сервер. И тут уже не так важно, то ли выводить несколько пппое в разные сегменты (или даже одни и те же разными интерфейсами), то ли делать несколько пптп и раскидывать запросы по ним, например, через ДНС.
4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP.
А некоторые не умеют одновременно локалку и пппое. А локалку и пптп - умеют. Хотя если иметь дело с достаточно адекватными машинками, типа dir-100 (холивар не начинать!), то и то, и другое работает нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ключевое отличие между PPPoE и PPTP - PPPoE требует,

чтобы клиент и сервер видели друг друга напрямую (не через роутер),

а для PPTP они могут быть расположены в разных подсетях.

 

Поэтому PPTP лучше подходит для больших сложных сетей.

Типичный пример - Корбина.

 

В маленьких сетях PPPoE, на мой взгляд, предпочтительнее:

1) проще в настройке и поддержке, так как клиенту не требуется

никакая предварительная настройка TCP/IP на LAN-интерфейсе,

2) меньше нагружает сервер,

3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение,

4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP.

pppoe легко релеится, если нужно и если железо умеет.

В linux - pppoe-relay

в Cisco http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1027129

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ключевое отличие между PPPoE и PPTP - PPPoE требует,

чтобы клиент и сервер видели друг друга напрямую (не через роутер),

а для PPTP они могут быть расположены в разных подсетях.

 

Поэтому PPTP лучше подходит для больших сложных сетей.

Типичный пример - Корбина.

 

В маленьких сетях PPPoE, на мой взгляд, предпочтительнее:

1) проще в настройке и поддержке, так как клиенту не требуется

никакая предварительная настройка TCP/IP на LAN-интерфейсе,

2) меньше нагружает сервер,

3) меньше отъедает скорость служебным трафиком, быстрее инициирует соединение,

4) некоторые домашние маршрутизаторы глючат с PPPoE меньше, чем с PPTP.

pppoe легко релеится, если нужно и если железо умеет.

В linux - pppoe-relay

в Cisco http://www.cisco.com/en/US/docs/ios/12_3t/....html#wp1027129

 

Прошу прощения, а можно тут поподробнее, на тему релея pppoe... Желательно на пальцах...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эээ... сложно на пальцах. Но если по простому - можно пробросить pppoe через роутер, просто запустив программку, которая будет пробрасывать пакеты туда-сюда. Что-то типа бриджа, но без самого бриджа, для pppoe.

В деталях можно посмотреть в исходниках, у меня нужды ее использовать не было.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно защититься от перехвата авторизации в PPPoE

Авторизация происходит путем рассылки определенных Ethernеt-фреймов.

Эти фреймы можно блокировать на свичах, а разрешать только ВАШЕМУ серверу авторизации их отправлять.

Т.е. пользователь спрашивает в сети, какие сервисы (серверы) присутствуют, и ответы к нему прийдут только от тех устройств, какие Вы разрешите на свичах.

 

Теория хорошо здесь переведена и дотошно все расписано:

http://www.nag.ru/goodies/articles/pppoe.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Далеко не все оборудование умеет фильтровать PADO. Есть примеры кто умеет?

на DES-3526 запросто можно вот так ... воткнуть туда фильтрацию PADO - вообще не вопрос :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Эээ... сложно на пальцах. Но если по простому - можно пробросить pppoe через роутер, просто запустив программку, которая будет пробрасывать пакеты туда-сюда. Что-то типа бриджа, но без самого бриджа, для pppoe.

В деталях можно посмотреть в исходниках, у меня нужды ее использовать не было.

Прошу помощи, т.к. сеть планируется большая (например одна - 8К абонентов, другие больше), соответственно стою перед выбором - релеить pppoe (пока не уверен что это нормальное решение) или поднимать все на ppptp....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

PPPOЕ на мой взгляд в большой сети городить бредово, остаётся ставить pptp кластер, с рассчётом 1 машинка (или связка сетёвка&ядро проца, если многоядрённик) на ~700 жал.

Я бы вообще pptp юзал только для аутентификации, (ну и для белых ипов) а после того как юзер авторизуется - включал ему NAT до поры пока комп не ребутнёт и пинал с сервака вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Юзаем пппое. В качестве терминации (a.k.a. BRAS) - Cisco 7301. Абонентов за 6-8к (если не врут продажники). Проблем нет. Пока 2 Цыски.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Некоторые роутеры не умеют быть pptp-клиентом, например циска...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Некоторые роутеры не умеют быть pptp-клиентом, например циска...

говорят что умеет :)

http://dreamcatcher.ru/index.php?option=co...06&Itemid=4

 

вот достану софт для своей старенькой 827-4V и попробую )

а так под рукой ничего нет свободного :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я в курсе. Но это через (_!_) и не документировано.

Есть и другие рутеры, которые не умеют pptp, мне попадались...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я в курсе. Но это через (_!_) и не документировано.

Есть и другие рутеры, которые не умеют pptp, мне попадались...

а не в курсе почему так? Cisco вместе с микрософтом его разрабатывало. м.б. это некое политическое решение?

 

p.s. да сохо рутеров навалом, которые толком не умеют ничего :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас