Jump to content
Калькуляторы

слезть с pppoe

pptp зло, общепризнанный факт.

собираемся с него слезать в сторону IPoE и PPPoE

а можно узнать - почему?

Share this post


Link to post
Share on other sites

Плюсы pppoe перед pptp:

 

1. немного меньше оверхед.

2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматически

3. все сетевые устройства включая экзотичные поддерживают pppoe

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.

5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.

 

 

Плюсы ipoe:

 

1. при переустановке системы юзеру не нужно ничего дополнительно настраивать, не нужно помнить имя и пароль, соответсвенно число звноков в саппорт уменьшается.

2. нулевой оверхед

3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями.

 

 

Share this post


Link to post
Share on other sites
а можно узнать - почему?
1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.

4. Неизвестно, будет ли работать поверх IPv6.

Edited by photon

Share this post


Link to post
Share on other sites
3. Имеет проблемы с NAT,
В каком смысле?

В том смысле, что сессия не устанавливается, если клиент и сервер разделены NAT-роутером. Нужно использовать на роутере PPTP-прокси, либо подгружать модуль ip_nat_pptp для iptables в случае Linux.

Share this post


Link to post
Share on other sites

Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :)

Share this post


Link to post
Share on other sites

Вобщето если клиент и сервер разделены NAT роутером то pppoe сессия тоже не установится :)

Даже если разделены просто роутером, т.к. PPPoE по определению не маршрутизируется. Для преодоления этого недостатка предлагается ставить по брасу на каждый сегмент, либо использовать 802.1q, т.е. заниматься нагромождением туннелей, что создает дополнительный overhead. Плюс во всех VPN-протоколах нужно как-то настраивать аутентификацию у юзера на машине. Вот и получается, что вышеупомянутую розетку с надписью "Интернет" ни на чем, кроме IPoE с умным доступом, реализовать нельзя. Либо надо делать как ADSL-щики: раздавать пренастроенные модемы/роутеры при подключении.

Edited by photon

Share this post


Link to post
Share on other sites

Overhead от PPTP и L2TP куда больше чем от dot1q.

Share this post


Link to post
Share on other sites
а можно узнать - почему?
1. PPTP не поддерживается крупными вендорами сетевого оборудования. Не критично, только если всю жизнь собираетесь сидеть на FreeBSD/Linux в качестве VPN-серверов.

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.

4. Неизвестно, будет ли работать поверх IPv6.

А IPoE это сходу надо покупать железяку которая умеет ipunnumbered ибо дефицит ипов будет еще больше =)

 

Share this post


Link to post
Share on other sites

эта железка либо такойже писюк что используется для терминации pppoe/pptp/l2tp либо б.у. cisco catalyst.

Edited by Kaban

Share this post


Link to post
Share on other sites
Плюсы pppoe перед pptp:

 

1. немного меньше оверхед.

это знаю, но тогда лучше вообще IPoE

 

 

2. балансировка и отказоустойчивость при использовании нескольких брасов реализуется автоматически
тоже известно, но можно ведь и pptp распределить, хоть и не так легко ( не "автоматически")

 

3. все сетевые устройства включая экзотичные поддерживают pppoe
да встречаются те, которые не поддерживают РРТР, и еще есть проблемы у некоторых с PPTP+DHCP, но это можно устранить до покупки устройства - люди же приходят и спрашивают, а если нет - тогда решаем вместе... то есть это не проблема, как со стороны клиента, так и сервера - ведь те кто может PPTP/L2TP, могут и по другому "пустить" - IPoE/PPPoE/Vlan

 

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.
Еще ни разу не видел, что бы убийство TCP/IP, что приводит к невозможности подключения, не затрагивало в равной степени и PPPoE/PPTP/IPoE - так как даже если клиент подключается - инет он не видит... Но простым фиксом и 5-ю минутами - и всё работае... Правда "таких" очень мало...

В общем если пользователь "растит" у себя вирусню - она рано или поздно выскачит несворачиваемся окошком, или же синим экраном или же еще как-то... И уж тип подключения - никак не спасёт... По крайней мере один теоретически спасённый тазик на х заражённых - это немного...Разве что их процент будет >30%

 

5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.
2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.
Вот есть сегмент - в нем mac-binding/acl привязка/ что-то другое - это то что провайдер должен сделать что бы защитить своих клиентов от атак...

Теперь берём 3026, включаем комп и отключаем на нём TCP/IP + включаем биндинг на порт... И... включаем PPPoE-подключение.... Вуаля и у меня уже есть инет - порт не заблокирован, PPPoE работает, как и остальное - например завесим Прову свичи переполнением таблицы комутации...

Бороться с этим можно разве что acl-на порт по маку...

Теперь как было в одной фирме где работаю... Логин = улицаdдомkvкватрира, и с давнишних времён на многих старых аккаунтах - простой пароль: 12345... стали звонить люди - ошибка 691, а пароль у них был очень странный. Как оказалось, кто-то подбирал логин/пароль, заходил в биллинг и смотрел МАК, иногда менял пароль...

 

В PPPoE при авторизации на сервере можно спросить МАК, и при правильном логин+пароль+мак пустить пользователя... Где тут защита? Из любого сегмента подключайся и порть жизнь саппортам и клиентам... Ну если конечно роуминг в сети Вас не раздражает...

 

Дальше - если брас подключён к сегменту напрямую - это хорошо, а ели нет - что тянуть весь трафф наверх -в ядро? Зачем если всегда можно побить свою сеть на мелкие кусочки и маршрутизировать до БРАСА только то что нужно, что бы он не напрягался если его кто-то захочет подолбить?

 

У нас PPPoE в одной маленькой сетке на 5+тыщ, так вот то что сеть не настраивали по началу - теперь приводит к плохим результатам - много звонков из-за спуфинга ИП-ков "не специально", или же нет возможности посмотреть сайты и т.д. То есть сеть в конечном счёте всё равно приходится настраивать и следить что бы ИП-ки были правитьными...

 

Много вопросов надо решать, что бы не допускать перезагрузку серверов доступа, поэтому Я не рисковал бы их в широковещательную сеть засовывать...

Плюсы ipoe:

 

3. в сочетании с технологией vlan-per-user (а именнто в этом случае ipoe имеет смылс разворачивать) вы получаете самую надежную защиту от юзеров с хулиганскими побуждениями.

в смысле сетка на 4-ипа в влан?

 

ЗЫ:

Иногда приходишь на работу в большую фирму,а проблемы там как в пионерсетях - еще один повод по которому Я бы не совал Брасы напрямую

Edited by weldpua2008

Share this post


Link to post
Share on other sites

Странно, но у меня pptp соединение, созданное на винде прекрасно поднимается, хотя нат имеется (выполнен на линуксе)...

Share this post


Link to post
Share on other sites

Поробуйте поднять второе соединение.

Share this post


Link to post
Share on other sites

weldpua2008:

 

Разбалансировать pptp между брасами относительно несложно реализовать можно, а вот сделать резервирование геморой еще тот.

Я сбился со счета от случаев когда на winxp в один прекрасный момент правильно настроеный работающий до этого pptpt не запускается выдавая ощибки 7xx, зато pppoe работает без проблем. За последние несколько лет встречал массу юзеровских устройств либо не поддерживающих pptp либо поддерживающих его в теории. Объяснить юзеру что он должен выбросить свой роутер и купить новый, не смотря на то что он успешно до этого работал у другого провайдера - тут нужно иметь дар внушения.

При использовании схемы vlan-per-customers юзеру выделяется один ip. Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы.

Edited by Kaban

Share this post


Link to post
Share on other sites
При использовании схемы vlan-per-customers юзеру выделяется один ip.
тоесть ip unnumbered?

 

Если вы используете dlink-и то еще советую ознакомится с pppoe circuid_id insertion gри котором никаких привязок к МАК-у делать не нужно. А от IP-MAC_Binding со временем отказались в пользу ACL-й, ибо IMB глюкало еще то от которого гемора больше чем пользы.
Это когда продвинутый доступ 3028/3526, а не 3026 - безАЦЛ-ный :)

 

Share this post


Link to post
Share on other sites

Да. ip unnumbered.

Share this post


Link to post
Share on other sites

Имею ip unnumbered на 3750,

влан на дом, поверх этого бегает pppoe

деньги кончились - перекидывает на биллинг, никуда не деться.

локалка рубится на 15 день долга путем опускания порта :)

 

2 года, проблемных клиентов меньше 5%

 

 

Share this post


Link to post
Share on other sites
2 года, проблемных клиентов меньше 5%
а общее кол-во пользователей сколько? если не секрет конечно же.

имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра.

 

Share this post


Link to post
Share on other sites
2 года, проблемных клиентов меньше 5%
а общее кол-во пользователей сколько? если не секрет конечно же.

имхо 5% - относительная цифра. если 1000 абонентов - ерунда. если 10000 и более - уже серьезная цифра.

Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Share this post


Link to post
Share on other sites
Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Кхе-кхе, ну Вы-то точно не увидите.

Share this post


Link to post
Share on other sites
Да нету, крупные провы не пойдут на столь масштабную перестройку сети. Так что еще ближайшие 5 лет мы не увидим масштабных сетей с IPoE

Кхе-кхе, ну Вы-то точно не увидите.

Почему это? ))

Share this post


Link to post
Share on other sites

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

Share this post


Link to post
Share on other sites

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

IPoE централизации не исключает. Пример - qwerty. Есть и централизация и IPoE. :)

Share this post


Link to post
Share on other sites

Крупные провайдеры уходят в сторону централизации управления и гомогенных схем организации доступа. IPoE в эту концепцию не вписывается никак абсолютно.

Согласен на 100+ %.

Share this post


Link to post
Share on other sites
5. не используется IP стек сетевой карточки и по сему все атаки хулиганов из общего сегмента связаные с подменой ip адреса или arp спуфинг pppoe побоку.
Подменять PPPoE сервера на порядок легче, чем арп спуфинг.

 

4. в винде pppoe задействует гораздо меньшее количество служб чем pptp, соответсвенно меньше проблем когда глючит винда или юзер цепляет вирус.
В обоих случая RAS служба.

 

2. Реализация от Microsoft имеет уязвимый алгоритм аутентификации, позволяющий легко подобрать пароль, прослушав сессию.
Это вы про MSCHAPV2 ?

в PPPoE все теже алгоритмы.

 

3. Имеет проблемы с NAT, что критично в связи с надвигающимся дефицитом белых IPv4-адресов.
Дак речь вроде про NAS, нат после ставят.

И вообще, фтп и много чего проблемно для ната.

 

 

4. Неизвестно, будет ли работать поверх IPv6.
Должен, ничего страшного там нет.

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this