PPPoE в сети на тупом оборудовании

[OLEG Doneck]

Сейчас в сети поднят РРТР (замучали сниферуны с подменой ипа и мака сервера)хочется перейти на PPPoE какие при этом могут быть проблемы в сети из 60 свитчей на медной колбасе? вообще в чём преимущества РРТР перед PPPoE?

[[anp/hsw]]

могу рассказать, как лучше готовить в такой сети pptp:

1. прописать статикой связку IP-MAC vpn-сервера на клиентах (раздать соответствующий bat-файл, или делать это при подключении)

2. включать шифрование (какой-нибудь Core2duo на 3ггц, вставленый в первое попавшееся железо, легко справится с 300 шифроваными сессиями при общем потоке мегабит 10-20) - а больше вам думаю и не надо в такой сети

3. внутренний трафик гонять через центр не нужно. пусть он будет бесплатным - правильно его учитывать в такой сети за разумные деньги сложно.

 

таким образом получается довольно дешево и более-менее качественно (пока местные хакеры не научатся подменять mac (а в случае с pppoe - подменять сам сервер)

тогда уже придется либо брать управляемые свичи, либо включать во всех свичах port-based vlan (на реалтеках например все свичи так умеют) и прощаться со скоростной локалкой ;)

 

[nuclearcat]

OLEG Doneck - PPPoE тоже подменяется при желании.

[OLEG Doneck]

могу рассказать, как лучше готовить в такой сети pptp:

1. прописать статикой связку IP-MAC vpn-сервера на клиентах (раздать соответствующий bat-файл, или делать это при подключении)

2. включать шифрование (какой-нибудь Core2duo на 3ггц, вставленый в первое попавшееся железо, легко справится с 300 шифроваными сессиями при общем потоке мегабит 10-20) - а больше вам думаю и не надо в такой сети

3. внутренний трафик гонять через центр не нужно. пусть он будет бесплатным - правильно его учитывать в такой сети за разумные деньги сложно.

 

таким образом получается довольно дешево и более-менее качественно (пока местные хакеры не научатся подменять mac (а в случае с pppoe - подменять сам сервер)

тогда уже придется либо брать управляемые свичи, либо включать во всех свичах port-based vlan (на реалтеках например все свичи так умеют) и прощаться со скоростной локалкой ;)

а что нам даст статическая связка? и как приготовить такой батничек?)))

 

OLEG Doneck - PPPoE тоже подменяется при желании.

вопрос скорей всего обсуждался(ща полезу форум трусить) но всётаки спрошу ещё у вас - как быстро найти-вычислить PPPoE сервер на тупом оборудовании?

[BiWiS]

На тупом... тупо выдергивая провода и пытаясь в этом проводе запускать пппое авторизацию с ноута)

Но это прийдется много бегать и много тыкать провода)

[vadimus]

У меня есть сеть на 1200 человек на неуправляемом оборудованиии, правда она разбита примерно на 20 сегментов на головном узле (есть 20 vlan). Случаев запуска своего PPPoE сервера вроде не было за 2 года ни разу.

[OLEG Doneck]

У меня есть сеть на 1200 человек на неуправляемом оборудованиии, правда она разбита примерно на 20 сегментов на головном узле (есть 20 vlan). Случаев запуска своего PPPoE сервера вроде не было за 2 года ни разу.

рисую картину - у тебя есть конкурент который хочет ухудшить работу твоей сети или как вариант кулхацкеры которые юзают только локалку и хотят на халяву чужой инет поюзать, я так понимаю пппое сервер поднять сложнее чем впн?

 

ктонибудь занимался подменой пппое серверов, какие проги для этого под виндой используются и вообще реально ли с форточки поднять пппое сервер? или нужны никсы и соотвецтвующие знания?

[Beginner]

РРРоЕ работает в широковещательном сегменте, РРТР - в маршрутизируемой сети. Отсюда и разные ограничения.

На Венде не пробовал, на линуксе поднимается не сложнее РРТР.

 

[zadrovets]

в домах мыльницы с "трафик сегментейшн" типа: DES-1016D/RV

весь трафик будет идти на уровень выше, на том уровне ставите управляемую железку и с помощью АЦЛей зарезаете пппое сервера на всех портах, кроме центра.

 

[Ivan_83]

Под виндой распппое умеет сервер, насколько он будет полезен для перхвата пароля не знаю, хотя его можно будет хватать уже снифером.

Когда видел последний раз - ничего сложного небыло, инструкций на 5 страниц с картинками, больше пояснений по параметрам.

Знания нужны в любом случае, у некоторых "интернет не работет" если при открытии браузера не открывается сам какойто сайт, а открывается пустая страница.

[Giga-Byte]

пароль не перехватить (если он не PAP :))) )

как шифруется пароль - есть соответствующие rfc по CHAP, MS-CHAP1, MS-CHAP2

 

бывают проблемы с PPPoE: в доме "продвинутый" чел подключает АДСЛ_модем либо другого провайдера в домашний свич, в тотже домашний свич включает пару своих компьютеров и нашего провайдера. вот представьте как начнёт колбасить сетку, которая никак в центр не уводится в пределах одного-двух домов, порядка 20-50 юзеров (ну не наставишься умного/полуумного оборудования по городу)

например, УралСвязьИнформ-овские BRAS-ы ловят PPPoE discovery с любым service-name, но Эр-Телеком абонентам указывает какой писать service-name, чтобы они на чужом сервере не пытались проходит аутентификацию

 

пы.сы. плюсы PPPoE против PPTP: лёгкость адмнистрирования ЛВС, большой выбор провайдерского оборудования даже под "недетские" нагрузки, лёгкость настройки клиентского оборудования

[[anp/hsw]]

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

 

 

[zadrovets]

Ну да это минус что центр должен быть дорогим.

зато разница в стоимости мыльниц и упр. свичей такая, что можно центр на 10-тонниках делать.

А пппое хорош еще тем, что когда комп начал напрягаться - поставил второй и нагрузка сбалансировалась.

Опять нагрузились - еще один. и т.д.

Получится стойка серверов пппое :)

[OLEG Doneck]

в домах мыльницы с "трафик сегментейшн" типа: DES-1016D/RV

весь трафик будет идти на уровень выше, на том уровне ставите управляемую железку и с помощью АЦЛей зарезаете пппое сервера на всех портах, кроме центра.

замена мыльниц непланируется по причине дикого кризиса - нужно выжать из инфраструктуры максимум, а потом перейти на оптику

 

пароль не перехватить (если он не PAP :))) )

как шифруется пароль - есть соответствующие rfc по CHAP, MS-CHAP1, MS-CHAP2

 

бывают проблемы с PPPoE: в доме "продвинутый" чел подключает АДСЛ_модем либо другого провайдера в домашний свич, в тотже домашний свич включает пару своих компьютеров и нашего провайдера. вот представьте как начнёт колбасить сетку, которая никак в центр не уводится в пределах одного-двух домов, порядка 20-50 юзеров (ну не наставишься умного/полуумного оборудования по городу)

например, УралСвязьИнформ-овские BRAS-ы ловят PPPoE discovery с любым service-name, но Эр-Телеком абонентам указывает какой писать service-name, чтобы они на чужом сервере не пытались проходит аутентификацию

 

пы.сы. плюсы PPPoE против PPTP: лёгкость адмнистрирования ЛВС, большой выбор провайдерского оборудования даже под "недетские" нагрузки, лёгкость настройки клиентского оборудования

вот по шифрованию очень интересный момент, получается на клиентской машине нужно разрешить шифрование определённым протоколом или несколькими но там куча протоколов 0_о нам я так понял чтобы левй сервер не мог стащить пароль нужен любой протокол кроме РАР, я правильно понял? тогда хотелось бы определится какой протокол использовать?

 

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

[OLEG Doneck]

погуглил: получается что при использовании MS-CHAP v2 невозможно украсть пароль потому что - клиент отправит пароль серверу в зашифрованом виде только при условии что сервер знает этот пароль!

 

теперь на сервере оставляем авторизацию только по MS-CHAP v2 а у клиентов в настройках разрешаем использование только протокола MS-CHAP v2 а иначе отключатся, нужно ли использовать шифрование самого тунеля после конекта если да то для чего и какие есть виды шифрования тунелей?

 

Я правильно всё понял?

[Ivan Rostovikov]

Правильно, но учтите, большенство аппаратных роутеров неумеет MS-CHAP v2

А их нынче оч. модно ставить у абонентов.

[OLEG Doneck]

Правильно, но учтите, большенство аппаратных роутеров неумеет MS-CHAP v2

А их нынче оч. модно ставить у абонентов.

большое спасибо за такое дельное замечание, тогда сразу вопрос какие папулярные маршрутизаторы умеют MS-CHAP v2?

dir-100 умеет? на сайте глинка поковырял но там ненаписано вообще(((

[Mancubus]

в DIR-100 есть mschap2, только mppe нет.

[mikevlz]

есть еще chap просто. Его вроде умеют роутеры. Вот с шифрованием трафика у роутеров совсем беда, но шифрование трафика не нужно в отличие от шифрования паролей.

[vadimus]

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

Насчет нагрузки - у меня и локальный, и интернет идет через PPPoE, 410 килопакетов в секунду, 600 в онлайне, а также DNS и DHCP-сервера. И это на двухъядерном Оптероне 2.2 с 4 Гигами оперативки и двумя сетевушками Intel.

[doubtpoint]

минусы pppoe - городить L2-костыли типа тунелирования pppoe-фреймов до центра, либо куча разношерстных NAS-ов по писюку на сегмент.

(надеюсь вы не будете гонять через него локал? :) - а если всеже будете - то можно все свичи сделать неуправляемыми с port-based VLAN. но тогда на "голове" нужно будет городить 2-3 монстра на core2quad, паралелить по ним нагрузку и роутить (если конечно хочется нормальной скорости в локале)

гонять через центр локалку непланируется как и ставить управляемое оборудование - ну разве что в крайних случаях

Насчет нагрузки - у меня и локальный, и интернет идет через PPPoE, 410 килопакетов в секунду, 600 в онлайне, а также DNS и DHCP-сервера. И это на двухъядерном Оптероне 2.2 с 4 Гигами оперативки и двумя сетевушками Intel.

Ты что локалку гоняешь через сервер? 400 кпакетов это около 2 гигабит. Это даже для локалки 600 онлайн пользователей много...

[SmokerMan]

Думается что слово "много" никак к слову "локалка" не клеится... Особенно нахаляву...

[vadimus]

Да, локалку и пиринг (у нас SVAO-IX), притом локалку и пиринг на 100 Мбит/с.

[OLEG Doneck]

в DIR-100 есть mschap2, только mppe нет.

 

есть еще chap просто. Его вроде умеют роутеры. Вот с шифрованием трафика у роутеров совсем беда, но шифрование трафика не нужно в отличие от шифрования паролей.

 

а зачем вообще шифровать трафик, если сеть построена на тупых свитчах и медных магистралях, чтобы какойнибудь умник не врезался в кабель и отлавливал инфу?

помойму создаёт лишнюю нагрузку на проц сервера при расшифровке.

 

поправьте пожалуйста если неправ!

[zadrovets]

посмотрел вчера на свою загрузку одного сервачка:

 

60кППС, 300Мбит трафа, 800онлайн узеров. траф только инет.

 

Вопрос откуда получилось 400кППС при полосе 100мб (так в локалке еще и пакеты огромные)

НЕВЕРЮ.