weldpua2008 Опубликовано 7 апреля, 2010 · Жалоба pptp зло, общепризнанный факт.собираемся с него слезать в сторону IPoE и PPPoE а можно узнать - почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 · Жалоба Плюсы pppoe перед pptp: 1. немного меньше оверхед. 2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматически 3. все сетевые устройства включая экзотичные поддерживают pppoe 4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус. 5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку. Плюсы ipoe: 1. при переустановке системы юзеру не нужно ничего дополнительно настраивать, не нужно помнить имя и пароль, соответсвенно число звноков в саппорт уменьшается. 2. нулевой оверхед 3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 7 апреля, 2010 (изменено) · Жалоба а можно узнать - почему?1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию. 3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов. 4. Неизвестно, будет ли работать поверх IPv6. Изменено 7 апреля, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 7 апреля, 2010 · Жалоба 3. Имеет проблемы с NAT, В каком смысле? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 7 апреля, 2010 · Жалоба 3. Имеет проблемы с NAT,В каком смысле? В том смысле, что сессия не устанавливается, если клиент и сервер разделены NAT-роутером. Нужно использовать на роутере PPTP-прокси, либо подгружать модуль ip_nat_pptp для iptables в случае Linux. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 · Жалоба Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
photon Опубликовано 7 апреля, 2010 (изменено) · Жалоба Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :) Даже если разделены просто роутером, т.к. PPPoE по определению не маршрутизируется. Для преодоления этого недостатка предлагается ставить по брасу на каждый сегмент, либо использовать 802.1q, т.е. заниматься нагромождением туннелей, что создает дополнительный overhead. Плюс во всех VPN-протоколах нужно как-то настраивать аутентификацию у юзера на машине. Вот и получается, что вышеупомянутую розетку с надписью "Интернет" ни на чем, кроме IPoE с умным доступом, реализовать нельзя. Либо надо делать как ADSL-щики: раздавать пренастроенные модемы/роутеры при подключении. Изменено 7 апреля, 2010 пользователем photon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 · Жалоба Overhead от PPTP и L2TP куда больше чем от dot1q. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
generik Опубликовано 7 апреля, 2010 · Жалоба а можно узнать - почему?1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию. 3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов. 4. Неизвестно, будет ли работать поверх IPv6. А IPoE это сходу надо покупать железяку которая умеет ipunnumbered ибо дефицит ипов будет еще больше =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 (изменено) · Жалоба эта железка либо такойже писюк что используется для терминации pppoe/pptp/l2tp либо б.у. cisco catalyst. Изменено 7 апреля, 2010 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weldpua2008 Опубликовано 7 апреля, 2010 (изменено) · Жалоба Плюсы pppoe перед pptp: 1. немного меньше оверхед. это знаю, но тогда лучше вообще IPoE 2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматическитоже известно, но можно ведь и pptp распределить, хоть и не так легко ( не "автоматически") 3. все сетевые устройства включая экзотичные поддерживают pppoeда встречаются те, которые не поддерживают РРТР, и еще есть проблемы у некоторых с PPTP+DHCP, но это можно устранить до покупки устройства - люди же приходят и спрашивают, а если нет - тогда решаем вместе... то есть это не проблема, как со стороны клиента, так и сервера - ведь те кто может PPTP/L2TP, могут и по другому "пустить" - IPoE/PPPoE/Vlan 4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.Еще ни разу не видел, что бы убийство TCP/IP, что приводит к невозможности подключения, не затрагивало в равной степени и PPPoE/PPTP/IPoE - так как даже если клиент подключается - инет он не видит... Но простым фиксом и 5-ю минутами - и всё работае... Правда "таких" очень мало... В общем если пользователь "растит" у себя вирусню - она рано или поздно выскачит несворачиваемся окошком, или же синим экраном или же еще как-то... И уж тип подключения - никак не спасёт... По крайней мере один теоретически спасённый тазик на х заражённых - это немного...Разве что их процент будет >30% 5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку. 2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.Вот есть сегмент - в нем mac-binding/acl привязка/ что-то другое - это то что провайдер должен сделать что бы защитить своих клиентов от атак...Теперь берём 3026, включаем комп и отключаем на нём TCP/IP + включаем биндинг на порт... И... включаем PPPoE-подключение.... Вуаля и у меня уже есть инет - порт не заблокирован, PPPoE работает, как и остальное - например завесим Прову свичи переполнением таблицы комутации... Бороться с этим можно разве что acl-на порт по маку... Теперь как было в одной фирме где работаю... Логин = улицаdдомkvкватрира, и с давнишних времён на многих старых аккаунтах - простой пароль: 12345... стали звонить люди - ошибка 691, а пароль у них был очень странный. Как оказалось, кто-то подбирал логин/пароль, заходил в биллинг и смотрел МАК, иногда менял пароль... В PPPoE при авторизации на сервере можно спросить МАК, и при правильном логин+пароль+мак пустить пользователя... Где тут защита? Из любого сегмента подключайся и порть жизнь саппортам и клиентам... Ну если конечно роуминг в сети Вас не раздражает... Дальше - если брас подключён к сегменту напрямую - это хорошо, а ели нет - что тянуть весь трафф наверх -в ядро? Зачем если всегда можно побить свою сеть на мелкие кусочки и маршрутизировать до БРАСА только то что нужно, что бы он не напрягался если его кто-то захочет подолбить? У нас PPPoE в одной маленькой сетке на 5+тыщ, так вот то что сеть не настраивали по началу - теперь приводит к плохим результатам - много звонков из-за спуфинга ИП-ков "не специально", или же нет возможности посмотреть сайты и т.д. То есть сеть в конечном счёте всё равно приходится настраивать и следить что бы ИП-ки были правитьными... Много вопросов надо решать, что бы не допускать перезагрузку серверов доступа, поэтому Я не рисковал бы их в широковещательную сеть засовывать... Плюсы ipoe: 3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями. в смысле сетка на 4-ипа в влан? ЗЫ: Иногда приходишь на работу в большую фирму,а проблемы там как в пионерсетях - еще один повод по которому Я бы не совал Брасы напрямую Изменено 7 апреля, 2010 пользователем weldpua2008 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NELSON Опубликовано 7 апреля, 2010 · Жалоба Странно, но у меня pptp соединение, созданное на винде прекрасно поднимается, хотя нат имеется (выполнен на линуксе)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 · Жалоба Поробуйте поднять второе соединение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 (изменено) · Жалоба weldpua2008: Разбалансировать pptp между брасами относительно несложно реализовать можно, а вот сделать резервирование геморой еще тот. Я сбился со счета от случаев когда на winxp в один прекрасный момент правильно настроеный работающий до этого pptpt не запускается выдавая ощибки 7xx, зато pppoe работает без проблем. За последние несколько лет встречал массу юзеровских устройств либо не поддерживающих pptp либо поддерживающих его в теории. Объяснить юзеру что он должен выбросить свой роутер и купить новый, не смотря на то что он успешно до этого работал у другого провайдера - тут нужно иметь дар внушения. При использовании схемы vlan-per-customers юзеру выделяется один ip. Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы. Изменено 7 апреля, 2010 пользователем Kaban Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weldpua2008 Опубликовано 7 апреля, 2010 · Жалоба При использовании схемы vlan-per-customers юзеру выделяется один ip.тоесть ip unnumbered? Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы.Это когда продвинутый доступ 3028/3526, а не 3026 - безАЦЛ-ный :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 7 апреля, 2010 · Жалоба Да. ip unnumbered. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 7 апреля, 2010 · Жалоба Имею ip unnumbered на 3750, влан на дом, поверх этого бегает pppoe деньги кончились - перекидывает на биллинг, никуда не деться. локалка рубится на 15 день долга путем опускания порта :) 2 года, проблемных клиентов меньше 5% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 8 апреля, 2010 · Жалоба 2 года, проблемных клиентов меньше 5%а общее кол-во пользователей сколько? если не секрет конечно же.имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
generik Опубликовано 8 апреля, 2010 · Жалоба 2 года, проблемных клиентов меньше 5%а общее кол-во пользователей сколько? если не секрет конечно же.имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра. Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 8 апреля, 2010 · Жалоба Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE Кхе-кхе, ну Вы-то точно не увидите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
generik Опубликовано 8 апреля, 2010 · Жалоба Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE Кхе-кхе, ну Вы-то точно не увидите. Почему это? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 8 апреля, 2010 · Жалоба Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 8 апреля, 2010 · Жалоба Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно. IPoE централизации не исключает. Пример - qwerty. Есть и централизация и IPoE. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 9 апреля, 2010 · Жалоба Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно. Согласен на 100+ %. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 апреля, 2010 · Жалоба 5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.Подменять PPPoE сервера на порядок легче, чем арп спуфинг. 4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.В обоих случая RAS служба. 2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.Это вы про MSCHAPV2 ?в PPPoE все теже алгоритмы. 3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.Дак речь вроде про NAS, нат после ставят.И вообще, фтп и много чего проблемно для ната. 4. Неизвестно, будет ли работать поверх IPv6.Должен, ничего страшного там нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...