Перейти к содержимому
Калькуляторы
pptp зло, общепризнанный факт.

собираемся с него слезать в сторону IPoE и PPPoE

а можно узнать - почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плюсы pppoe перед pptp:

 

1. немного меньше оверхед.

2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматически

3. все сетевые устройства включая экзотичные поддерживают pppoe

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.

5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.

 

 

Плюсы ipoe:

 

1. при переустановке системы юзеру не нужно ничего дополнительно настраивать, не нужно помнить имя и пароль, соответсвенно число звноков в саппорт уменьшается.

2. нулевой оверхед

3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а можно узнать - почему?
1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.

4. Неизвестно, будет ли работать поверх IPv6.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3. Имеет проблемы с NAT,

В каком смысле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3. Имеет проблемы с NAT,
В каком смысле?

В том смысле, что сессия не устанавливается, если клиент и сервер разделены NAT-роутером. Нужно использовать на роутере PPTP-прокси, либо подгружать модуль ip_nat_pptp для iptables в случае Linux.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :)

Даже если разделены просто роутером, т.к. PPPoE по определению не маршрутизируется. Для преодоления этого недостатка предлагается ставить по брасу на каждый сегмент, либо использовать 802.1q, т.е. заниматься нагромождением туннелей, что создает дополнительный overhead. Плюс во всех VPN-протоколах нужно как-то настраивать аутентификацию у юзера на машине. Вот и получается, что вышеупомянутую розетку с надписью "Интернет" ни на чем, кроме IPoE с умным доступом, реализовать нельзя. Либо надо делать как ADSL-щики: раздавать пренастроенные модемы/роутеры при подключении.

Изменено пользователем photon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Overhead от PPTP и L2TP куда больше чем от dot1q.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а можно узнать - почему?
1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.

4. Неизвестно, будет ли работать поверх IPv6.

А IPoE это сходу надо покупать железяку которая умеет ipunnumbered ибо дефицит ипов будет еще больше =)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

эта железка либо такойже писюк что используется для терминации pppoe/pptp/l2tp либо б.у. cisco catalyst.

Изменено пользователем Kaban

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Плюсы pppoe перед pptp:

 

1. немного меньше оверхед.

это знаю, но тогда лучше вообще IPoE

 

 

2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматически
тоже известно, но можно ведь и pptp распределить, хоть и не так легко ( не "автоматически")

 

3. все сетевые устройства включая экзотичные поддерживают pppoe
да встречаются те, которые не поддерживают РРТР, и еще есть проблемы у некоторых с PPTP+DHCP, но это можно устранить до покупки устройства - люди же приходят и спрашивают, а если нет - тогда решаем вместе... то есть это не проблема, как со стороны клиента, так и сервера - ведь те кто может PPTP/L2TP, могут и по другому "пустить" - IPoE/PPPoE/Vlan

 

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.
Еще ни разу не видел, что бы убийство TCP/IP, что приводит к невозможности подключения, не затрагивало в равной степени и PPPoE/PPTP/IPoE - так как даже если клиент подключается - инет он не видит... Но простым фиксом и 5-ю минутами - и всё работае... Правда "таких" очень мало...

В общем если пользователь "растит" у себя вирусню - она рано или поздно выскачит несворачиваемся окошком, или же синим экраном или же еще как-то... И уж тип подключения - никак не спасёт... По крайней мере один теоретически спасённый тазик на х заражённых - это немного...Разве что их процент будет >30%

 

5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.
2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.
Вот есть сегмент - в нем mac-binding/acl привязка/ что-то другое - это то что провайдер должен сделать что бы защитить своих клиентов от атак...

Теперь берём 3026, включаем комп и отключаем на нём TCP/IP + включаем биндинг на порт... И... включаем PPPoE-подключение.... Вуаля и у меня уже есть инет - порт не заблокирован, PPPoE работает, как и остальное - например завесим Прову свичи переполнением таблицы комутации...

Бороться с этим можно разве что acl-на порт по маку...

Теперь как было в одной фирме где работаю... Логин = улицаdдомkvкватрира, и с давнишних времён на многих старых аккаунтах - простой пароль: 12345... стали звонить люди - ошибка 691, а пароль у них был очень странный. Как оказалось, кто-то подбирал логин/пароль, заходил в биллинг и смотрел МАК, иногда менял пароль...

 

В PPPoE при авторизации на сервере можно спросить МАК, и при правильном логин+пароль+мак пустить пользователя... Где тут защита? Из любого сегмента подключайся и порть жизнь саппортам и клиентам... Ну если конечно роуминг в сети Вас не раздражает...

 

Дальше - если брас подключён к сегменту напрямую - это хорошо, а ели нет - что тянуть весь трафф наверх -в ядро? Зачем если всегда можно побить свою сеть на мелкие кусочки и маршрутизировать до БРАСА только то что нужно, что бы он не напрягался если его кто-то захочет подолбить?

 

У нас PPPoE в одной маленькой сетке на 5+тыщ, так вот то что сеть не настраивали по началу - теперь приводит к плохим результатам - много звонков из-за спуфинга ИП-ков "не специально", или же нет возможности посмотреть сайты и т.д. То есть сеть в конечном счёте всё равно приходится настраивать и следить что бы ИП-ки были правитьными...

 

Много вопросов надо решать, что бы не допускать перезагрузку серверов доступа, поэтому Я не рисковал бы их в широковещательную сеть засовывать...

Плюсы ipoe:

 

3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями.

в смысле сетка на 4-ипа в влан?

 

ЗЫ:

Иногда приходишь на работу в большую фирму,а проблемы там как в пионерсетях - еще один повод по которому Я бы не совал Брасы напрямую

Изменено пользователем weldpua2008

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно, но у меня pptp соединение, созданное на винде прекрасно поднимается, хотя нат имеется (выполнен на линуксе)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поробуйте поднять второе соединение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

weldpua2008:

 

Разбалансировать pptp между брасами относительно несложно реализовать можно, а вот сделать резервирование геморой еще тот.

Я сбился со счета от случаев когда на winxp в один прекрасный момент правильно настроеный работающий до этого pptpt не запускается выдавая ощибки 7xx, зато pppoe работает без проблем. За последние несколько лет встречал массу юзеровских устройств либо не поддерживающих pptp либо поддерживающих его в теории. Объяснить юзеру что он должен выбросить свой роутер и купить новый, не смотря на то что он успешно до этого работал у другого провайдера - тут нужно иметь дар внушения.

При использовании схемы vlan-per-customers юзеру выделяется один ip. Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы.

Изменено пользователем Kaban

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При использовании схемы vlan-per-customers юзеру выделяется один ip.
тоесть ip unnumbered?

 

Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы.
Это когда продвинутый доступ 3028/3526, а не 3026 - безАЦЛ-ный :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имею ip unnumbered на 3750,

влан на дом, поверх этого бегает pppoe

деньги кончились - перекидывает на биллинг, никуда не деться.

локалка рубится на 15 день долга путем опускания порта :)

 

2 года, проблемных клиентов меньше 5%

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 года, проблемных клиентов меньше 5%
а общее кол-во пользователей сколько? если не секрет конечно же.

имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 года, проблемных клиентов меньше 5%
а общее кол-во пользователей сколько? если не секрет конечно же.

имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра.

Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Кхе-кхе, ну Вы-то точно не увидите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Кхе-кхе, ну Вы-то точно не увидите.

Почему это? ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

IPoE централизации не исключает. Пример - qwerty. Есть и централизация и IPoE. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

Согласен на 100+ %.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.
Подменять PPPoE сервера на порядок легче, чем арп спуфинг.

 

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.
В обоих случая RAS служба.

 

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.
Это вы про MSCHAPV2 ?

в PPPoE все теже алгоритмы.

 

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.
Дак речь вроде про NAS, нат после ставят.

И вообще, фтп и много чего проблемно для ната.

 

 

4. Неизвестно, будет ли работать поверх IPv6.
Должен, ничего страшного там нет.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.