Jump to content
Калькуляторы

PPPoE в сети на тупом оборудовании какие могут быть проблемы - 300+ юзеров

Сейчас в сети поднят РРТР (замучали сниферуны с подменой ипа и мака сервера)хочется перейти на PPPoE какие при этом могут быть проблемы в сети из 60 свитчей на медной колбасе? вообще в чём преимущества РРТР перед PPPoE?

Share this post


Link to post
Share on other sites

могу рассказать, как лучше готовить в такой сети pptp:

1. прописать статикой связку IP-MAC vpn-сервера на клиентах (раздать соответствующий bat-файл, или делать это при подключении)

2. включать шифрование (какой-нибудь Core2duo на 3ггц, вставленый в первое попавшееся железо, легко справится с 300 шифроваными сессиями при общем потоке мегабит 10-20) - а больше вам думаю и не надо в такой сети

3. внутренний трафик гонять через центр не нужно. пусть он будет бесплатным - правильно его учитывать в такой сети за разумные деньги сложно.

 

таким образом получается довольно дешево и более-менее качественно (пока местные хакеры не научатся подменять mac (а в случае с pppoe - подменять сам сервер)

тогда уже придется либо брать управляемые свичи, либо включать во всех свичах port-based vlan (на реалтеках например все свичи так умеют) и прощаться со скоростной локалкой ;)

 

Share this post


Link to post
Share on other sites

могу рассказать, как лучше готовить в такой сети pptp:

1. прописать статикой связку IP-MAC vpn-сервера на клиентах (раздать соответствующий bat-файл, или делать это при подключении)

2. включать шифрование (какой-нибудь Core2duo на 3ггц, вставленый в первое попавшееся железо, легко справится с 300 шифроваными сессиями при общем потоке мегабит 10-20) - а больше вам думаю и не надо в такой сети

3. внутренний трафик гонять через центр не нужно. пусть он будет бесплатным - правильно его учитывать в такой сети за разумные деньги сложно.

 

таким образом получается довольно дешево и более-менее качественно (пока местные хакеры не научатся подменять mac (а в случае с pppoe - подменять сам сервер)

тогда уже придется либо брать управляемые свичи, либо включать во всех свичах port-based vlan (на реалтеках например все свичи так умеют) и прощаться со скоростной локалкой ;)

а что нам даст статическая связка? и как приготовить такой батничек?)))

 

OLEG Doneck - PPPoE тоже подменяется при желании.
вопрос скорей всего обсуждался(ща полезу форум трусить) но всётаки спрошу ещё у вас - как быстро найти-вычислить PPPoE сервер на тупом оборудовании?

Share this post


Link to post
Share on other sites

На тупом... тупо выдергивая провода и пытаясь в этом проводе запускать пппое авторизацию с ноута)

Но это прийдется много бегать и много тыкать провода)

Share this post


Link to post
Share on other sites

У меня есть сеть на 1200 человек на неуправляемом оборудованиии, правда она разбита примерно на 20 сегментов на головном узле (есть 20 vlan). Случаев запуска своего PPPoE сервера вроде не было за 2 года ни разу.

Share this post


Link to post
Share on other sites
У меня есть сеть на 1200 человек на неуправляемом оборудованиии, правда она разбита примерно на 20 сегментов на головном узле (есть 20 vlan). Случаев запуска своего PPPoE сервера вроде не было за 2 года ни разу.
рисую картину - у тебя есть конкурент который хочет ухудшить работу твоей сети или как вариант кулхацкеры которые юзают только локалку и хотят на халяву чужой инет поюзать, я так понимаю пппое сервер поднять сложнее чем впн?

 

ктонибудь занимался подменой пппое серверов, какие проги для этого под виндой используются и вообще реально ли с форточки поднять пппое сервер? или нужны никсы и соотвецтвующие знания?

Share this post


Link to post
Share on other sites

РРРоЕ работает в широковещательном сегменте, РРТР - в маршрутизируемой сети. Отсюда и разные ограничения.

На Венде не пробовал, на линуксе поднимается не сложнее РРТР.

 

Share this post


Link to post
Share on other sites

в домах мыльницы с "трафик сегментейшн" типа: DES-1016D/RV

весь трафик будет идти на уровень выше, на том уровне ставите управляемую железку и с помощью АЦЛей зарезаете пппое сервера на всех портах, кроме центра.

 

Share this post


Link to post
Share on other sites

Под виндой распппое умеет сервер, насколько он будет полезен для перхвата пароля не знаю, хотя его можно будет хватать уже снифером.

Когда видел последний раз - ничего сложного небыло, инструкций на 5 страниц с картинками, больше пояснений по параметрам.

Знания нужны в любом случае, у некоторых "интернет не работет" если при открытии браузера не открывается сам какойто сайт, а открывается пустая страница.

Share this post


Link to post
Share on other sites

пароль не перехватить (если он не PAP :))) )

как шифруется пароль - есть соответствующие rfc по CHAP, MS-CHAP1, MS-CHAP2

 

бывают проблемы с PPPoE: в доме "продвинутый" чел подключает АДСЛ_модем либо другого провайдера в домашний свич, в тотже домашний свич включает пару своих компьютеров и нашего провайдера. вот представьте как начнёт колбасить сетку, которая никак в центр не уводится в пределах одного-двух домов, порядка 20-50 юзеров (ну не наставишься умного/полуумного оборудования по городу)

например, УралСвязьИнформ-овские BRAS-ы ловят PPPoE discovery с любым service-name, но Эр-Телеком абонентам указывает какой писать service-name, чтобы они на чужом сервере не пытались проходит аутентификацию

 

пы.сы. плюсы PPPoE против PPTP: лёгкость адмнистрирования ЛВС, большой выбор провайдерского оборудования даже под "недетские" нагрузки, лёгкость настройки клиентского оборудования

Share this post


Link to post
Share on other sites

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

 

 

Share this post


Link to post
Share on other sites

Ну да это минус что центр должен быть дорогим.

зато разница в стоимости мыльниц и упр. свичей такая, что можно центр на 10-тонниках делать.

А пппое хорош еще тем, что когда комп начал напрягаться - поставил второй и нагрузка сбалансировалась.

Опять нагрузились - еще один. и т.д.

Получится стойка серверов пппое :)

Share this post


Link to post
Share on other sites
в домах мыльницы с "трафик сегментейшн" типа: DES-1016D/RV

весь трафик будет идти на уровень выше, на том уровне ставите управляемую железку и с помощью АЦЛей зарезаете пппое сервера на всех портах, кроме центра.

замена мыльниц непланируется по причине дикого кризиса - нужно выжать из инфраструктуры максимум, а потом перейти на оптику

 

пароль не перехватить (если он не PAP :))) )

как шифруется пароль - есть соответствующие rfc по CHAP, MS-CHAP1, MS-CHAP2

 

бывают проблемы с PPPoE: в доме "продвинутый" чел подключает АДСЛ_модем либо другого провайдера в домашний свич, в тотже домашний свич включает пару своих компьютеров и нашего провайдера. вот представьте как начнёт колбасить сетку, которая никак в центр не уводится в пределах одного-двух домов, порядка 20-50 юзеров (ну не наставишься умного/полуумного оборудования по городу)

например, УралСвязьИнформ-овские BRAS-ы ловят PPPoE discovery с любым service-name, но Эр-Телеком абонентам указывает какой писать service-name, чтобы они на чужом сервере не пытались проходит аутентификацию

 

пы.сы. плюсы PPPoE против PPTP: лёгкость адмнистрирования ЛВС, большой выбор провайдерского оборудования даже под "недетские" нагрузки, лёгкость настройки клиентского оборудования

вот по шифрованию очень интересный момент, получается на клиентской машине нужно разрешить шифрование определённым протоколом или несколькими но там куча протоколов 0_о нам я так понял чтобы левй сервер не мог стащить пароль нужен любой протокол кроме РАР, я правильно понял? тогда хотелось бы определится какой протокол использовать?

 

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

Share this post


Link to post
Share on other sites

погуглил: получается что при использовании MS-CHAP v2 невозможно украсть пароль потому что - клиент отправит пароль серверу в зашифрованом виде только при условии что сервер знает этот пароль!

 

теперь на сервере оставляем авторизацию только по MS-CHAP v2 а у клиентов в настройках разрешаем использование только протокола MS-CHAP v2 а иначе отключатся, нужно ли использовать шифрование самого тунеля после конекта если да то для чего и какие есть виды шифрования тунелей?

 

Я правильно всё понял?

Share this post


Link to post
Share on other sites

Правильно, но учтите, большенство аппаратных роутеров неумеет MS-CHAP v2

А их нынче оч. модно ставить у абонентов.

Share this post


Link to post
Share on other sites
Правильно, но учтите, большенство аппаратных роутеров неумеет MS-CHAP v2

А их нынче оч. модно ставить у абонентов.

большое спасибо за такое дельное замечание, тогда сразу вопрос какие папулярные маршрутизаторы умеют MS-CHAP v2?

dir-100 умеет? на сайте глинка поковырял но там ненаписано вообще(((

Share this post


Link to post
Share on other sites

в DIR-100 есть mschap2, только mppe нет.

Share this post


Link to post
Share on other sites

есть еще chap просто. Его вроде умеют роутеры. Вот с шифрованием трафика у роутеров совсем беда, но шифрование трафика не нужно в отличие от шифрования паролей.

Share this post


Link to post
Share on other sites
минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

Насчет нагрузки - у меня и локальный, и интернет идет через PPPoE, 410 килопакетов в секунду, 600 в онлайне, а также DNS и DHCP-сервера. И это на двухъядерном Оптероне 2.2 с 4 Гигами оперативки и двумя сетевушками Intel.

Share this post


Link to post
Share on other sites
минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

Насчет нагрузки - у меня и локальный, и интернет идет через PPPoE, 410 килопакетов в секунду, 600 в онлайне, а также DNS и DHCP-сервера. И это на двухъядерном Оптероне 2.2 с 4 Гигами оперативки и двумя сетевушками Intel.

Ты что локалку гоняешь через сервер? 400 кпакетов это около 2 гигабит. Это даже для локалки 600 онлайн пользователей много...

Share this post


Link to post
Share on other sites

Думается что слово "много" никак к слову "локалка" не клеится... Особенно нахаляву...

Share this post


Link to post
Share on other sites

Да, локалку и пиринг (у нас SVAO-IX), притом локалку и пиринг на 100 Мбит/с.

Share this post


Link to post
Share on other sites
в DIR-100 есть mschap2, только mppe нет.

 

есть еще chap просто. Его вроде умеют роутеры. Вот с шифрованием трафика у роутеров совсем беда, но шифрование трафика не нужно в отличие от шифрования паролей.

 

а зачем вообще шифровать трафик, если сеть построена на тупых свитчах и медных магистралях, чтобы какойнибудь умник не врезался в кабель и отлавливал инфу?

помойму создаёт лишнюю нагрузку на проц сервера при расшифровке.

 

поправьте пожалуйста если неправ!

Share this post


Link to post
Share on other sites

посмотрел вчера на свою загрузку одного сервачка:

 

60кППС, 300Мбит трафа, 800онлайн узеров. траф только инет.

 

Вопрос откуда получилось 400кППС при полосе 100мб (так в локалке еще и пакеты огромные)

НЕВЕРЮ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this