Pekny den,
premyslim a tak si necham rad poradit. Kterou VPNku pouzit na propojeni site2site? Ja mam nasledujici vlastnosti, prosim o napovezeni dalsich podle kterych se rozhodovat, pripadne dalsi volby a opravy.
PPTP - cracknuto, takze pro firemni vyuziti, nevyuzitelne
L2TP - viz. PPTP
IPsec - vykon, kterej to sezere je hrozny
Potom tam mam jeste dve moznosti, ale o tech se necham rad poucit...
OVPN
SSTP
Diky Ruda, snad to neni moc obecna otazka...
//edit: beru jak zapory tak klady...
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Idealni tunel
-
Rudolf Dvořák
- Příspěvky: 421
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Czech Republic
- Kontaktovat uživatele:
Idealni tunel
0 x
Já pořád používám PPTP v menších firmách, co jsem četl tak při použití dostatečně silného hesla je pořád bezpečné a hlavně pro uživatele přívětivé 
0 x
L2TP, PPTP atd.. nejsou náhodou primárně určený pro koncová PC?
jestli protojit site2site tak snad jedině EoIP.
jestli protojit site2site tak snad jedině EoIP.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
hapi píše:L2TP, PPTP atd.. nejsou náhodou primárně určený pro koncová PC?
jestli protojit site2site tak snad jedině EoIP.
EoIP není šifrovanej
Takže IPsec over EoIP. Popř. pokud nemáš dostatek výkonu, tak SSTP.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
-
Rudolf Dvořák
- Příspěvky: 421
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Czech Republic
- Kontaktovat uživatele:
sub_zero píše:hapi píše:L2TP, PPTP atd.. nejsou náhodou primárně určený pro koncová PC?
jestli protojit site2site tak snad jedině EoIP.
EoIP není šifrovanej
sstp je na tom jak s bezpečností v porovnání s ostatními?
0 x
Otázka je, co je to definice ideální tunel, z jakého úhlu pohledu?
Co se týše porovnání zatěže ni routeru při L2TP/PPTP kontra IPsec, je to dáno naročností algoritmu. PPTP/L2TP (a pokud nevypnu u SSTP, tak i vnitřní SSTP přenos) používá proudovou RC4 šifru, ta se nepovažuje za nejlepší, ale pro běžné použití dostatečná. Má výhodu, že je snadno implementovaltená a rychlá, za cenu menší bezpečnosti (ale dostatečné u běžného použití).Průser je ta handshake stránka věci, kdy se domlouvá daný symetrický klíč, to MS zprasil a už se to veze.
IPsec s 3DES, AES a spol blokovými šiframi je mnohem náročnější na CPU. Navíc, pokud si zapnete i podepisování, tka to ještě przní MD5 nebo SHA1. Ale vhondým nastavením řpi ještě rozumném zabezpečení se dá vyrazit slušný výkon. Nicméně pro větší toky to chce něco s HW akcelerací, bez akcelerace pro větší rychlosti připadá tak RB800 pro 50 Mbps a RB1100AH pro 100 Mbps, aby tomělo ještě výkonovou rezervu pro další blbosti (RB4xxAH se hodí tak do 10 Mbps s rezervou výkonu).
EoIP, GRE, IPIP, SIT jsou jen tunely bez zabezpečení, to musím něčím obalit. Navíc, zda často raděná varianta, že mám vzít EoIP a obalit to PPTP je blbost, když PPTP umí samo o sobě L2 bridgie.
K té síle hesla u PPTP a spol - je to úplně jedno. Respektive, pokud vezmu nejprofláknutější službu cloudcracker (jsou výkonější a levnější), tak když jim strčíte uvodní sekvenci, tak do 20 minut vám projdou to proti 300.000.000 nejěžnějších hesel (za 17 USD - hodně předraženo, je i slovník 800 mega hesel za 2 eura). Pokud najdou, víte jméno:heslo a může směle dešifrovat. Pokud heslo nebude ve slovníku, tak za 20 USD (je vidět tlak konkurence, nedávno ještě chtěli nelidských 100 USD) projdou do max 24 hod celý DES prostor a dodají hash hesla, takže vím jméno:MD4(jméno:heslo) a tento hash už je vlastní šifrovaíc klíč, s ním můžu dešifrovat jakoukoliv komunikaci součansou nebo minulou zachycenou (není implementován princip perfect-forward-secret), stejně tak úspěšně nasimulovat přihlášneí, kde se používá MS-CHAP.
Co se SSTP týče, to je v pohodě. Protože je to celé obaleno TLS obálkou (pokud ji nevypnu, Mirkotik tuhle blbost umí) a provádím ověřování certifikátů. Problém je v tom MS-CHAP (a je jedno, zda v1 nebo v2). Mikrosoft to ví tak 15 let, proto nahrazoval PPTP pomocí L2TP/IPsec, který ten omyl schová, později SSTP. Pokud by Mikrotik podporoval EAP protokol s vatriantpou PEAPv1, kdy je ta MS-CHAP sekvence zabalena do TLS obálky, tak by to bylo v pohodě, pasivní odposlech není možný a PPTP i L2TP bez IPsec obalu by byly v pohodě. Bohužel toto neumí v režimu klient, umí to jen jako server ve spolupráci s Radius serverem.
Nicméně problém SSTP je třeba to, že je to TCP, a to občas při přenosu TCP v TCP dává divné výsledky. Podobně blbě je na tom i OpenVPN. Kdyby měli i podporu pro UDP variantu, byla by to dobrá varianta na ROSu... Jiná věc je třeba efektivita. Pokud mám třeba MTU1500, tak PPTP efektivně přenese cca 1480 bajtů vnořeného MTU, L2TP cca 1460, kdežto SSTP jen cca 1370. Všichni 3 umí zachovat MTU1500 uvnitř tunelu za cenu fragmentace/reasemblace paketů.
Já používám pro pevné bof-bod tunely nejčastěji GRE tunel obaleny IPsec transportem, kde neí problém se zkráceným MTU. Kde musím mít L2 nebo MTU1500, tak EoIP/IPsec (už by s emohl ROS naučit MPLS over GRE a VPLS tunel by to řešil v jendom). Pro mobilní klienty IPsec v IKEv2 (ROS neumí) nebo L2TP/IPsec. Pro něco SSTP jako záloha, když IPsec bude neprůchozí nebo to není kritické na přenosový výkon.
Navíc SSTP implementace v ROS má v sobě nějakou chybu. Mám na RB1100AHx2 SSTP koncentrátor pro cca 50 tunelů a RBčko se pravidelně resetuje, když spadne za den jen 5x, je to úspěch (je tam pár RBček v backup režimu, padá vždy to aktivní a i na fóru je dost pláče na téma SSTP v ROSu).
Co se týše porovnání zatěže ni routeru při L2TP/PPTP kontra IPsec, je to dáno naročností algoritmu. PPTP/L2TP (a pokud nevypnu u SSTP, tak i vnitřní SSTP přenos) používá proudovou RC4 šifru, ta se nepovažuje za nejlepší, ale pro běžné použití dostatečná. Má výhodu, že je snadno implementovaltená a rychlá, za cenu menší bezpečnosti (ale dostatečné u běžného použití).Průser je ta handshake stránka věci, kdy se domlouvá daný symetrický klíč, to MS zprasil a už se to veze.
IPsec s 3DES, AES a spol blokovými šiframi je mnohem náročnější na CPU. Navíc, pokud si zapnete i podepisování, tka to ještě przní MD5 nebo SHA1. Ale vhondým nastavením řpi ještě rozumném zabezpečení se dá vyrazit slušný výkon. Nicméně pro větší toky to chce něco s HW akcelerací, bez akcelerace pro větší rychlosti připadá tak RB800 pro 50 Mbps a RB1100AH pro 100 Mbps, aby tomělo ještě výkonovou rezervu pro další blbosti (RB4xxAH se hodí tak do 10 Mbps s rezervou výkonu).
EoIP, GRE, IPIP, SIT jsou jen tunely bez zabezpečení, to musím něčím obalit. Navíc, zda často raděná varianta, že mám vzít EoIP a obalit to PPTP je blbost, když PPTP umí samo o sobě L2 bridgie.
K té síle hesla u PPTP a spol - je to úplně jedno. Respektive, pokud vezmu nejprofláknutější službu cloudcracker (jsou výkonější a levnější), tak když jim strčíte uvodní sekvenci, tak do 20 minut vám projdou to proti 300.000.000 nejěžnějších hesel (za 17 USD - hodně předraženo, je i slovník 800 mega hesel za 2 eura). Pokud najdou, víte jméno:heslo a může směle dešifrovat. Pokud heslo nebude ve slovníku, tak za 20 USD (je vidět tlak konkurence, nedávno ještě chtěli nelidských 100 USD) projdou do max 24 hod celý DES prostor a dodají hash hesla, takže vím jméno:MD4(jméno:heslo) a tento hash už je vlastní šifrovaíc klíč, s ním můžu dešifrovat jakoukoliv komunikaci součansou nebo minulou zachycenou (není implementován princip perfect-forward-secret), stejně tak úspěšně nasimulovat přihlášneí, kde se používá MS-CHAP.
Co se SSTP týče, to je v pohodě. Protože je to celé obaleno TLS obálkou (pokud ji nevypnu, Mirkotik tuhle blbost umí) a provádím ověřování certifikátů. Problém je v tom MS-CHAP (a je jedno, zda v1 nebo v2). Mikrosoft to ví tak 15 let, proto nahrazoval PPTP pomocí L2TP/IPsec, který ten omyl schová, později SSTP. Pokud by Mikrotik podporoval EAP protokol s vatriantpou PEAPv1, kdy je ta MS-CHAP sekvence zabalena do TLS obálky, tak by to bylo v pohodě, pasivní odposlech není možný a PPTP i L2TP bez IPsec obalu by byly v pohodě. Bohužel toto neumí v režimu klient, umí to jen jako server ve spolupráci s Radius serverem.
Nicméně problém SSTP je třeba to, že je to TCP, a to občas při přenosu TCP v TCP dává divné výsledky. Podobně blbě je na tom i OpenVPN. Kdyby měli i podporu pro UDP variantu, byla by to dobrá varianta na ROSu... Jiná věc je třeba efektivita. Pokud mám třeba MTU1500, tak PPTP efektivně přenese cca 1480 bajtů vnořeného MTU, L2TP cca 1460, kdežto SSTP jen cca 1370. Všichni 3 umí zachovat MTU1500 uvnitř tunelu za cenu fragmentace/reasemblace paketů.
Já používám pro pevné bof-bod tunely nejčastěji GRE tunel obaleny IPsec transportem, kde neí problém se zkráceným MTU. Kde musím mít L2 nebo MTU1500, tak EoIP/IPsec (už by s emohl ROS naučit MPLS over GRE a VPLS tunel by to řešil v jendom). Pro mobilní klienty IPsec v IKEv2 (ROS neumí) nebo L2TP/IPsec. Pro něco SSTP jako záloha, když IPsec bude neprůchozí nebo to není kritické na přenosový výkon.
Navíc SSTP implementace v ROS má v sobě nějakou chybu. Mám na RB1100AHx2 SSTP koncentrátor pro cca 50 tunelů a RBčko se pravidelně resetuje, když spadne za den jen 5x, je to úspěch (je tam pár RBček v backup režimu, padá vždy to aktivní a i na fóru je dost pláče na téma SSTP v ROSu).
0 x
-
Rudolf Dvořák
- Příspěvky: 421
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Czech Republic
- Kontaktovat uživatele:
Majklik: dekuju za vycerpavajici odpoved
Jeste se zeptatam nevite, jestli se snazi nejaci roboti na toto utocit? Ono defakto, pokud jdu tunel internetem tak nikdo mimo obou provideru nemuze ten tunel narusit, je to tak?
Jinak u tech RB4xx to sedi na tech 10Mbps, mam ozkouseno, protoze momentalne mam dva a vic to nedokaze, prave se snazim vymenit v bazaru, ale pochybuju, ze by se nekdo chtel zbavit...
Takze se asi vratim zpet k eoip v tunelu pptp nebo l2tp, sice je to slozejsi na konfiguraci, ale dostanu tim vic dat...
Jeste me napada jak moc slozite bude udelat ipsec tunel z linuxoveho serveru idealne debianu? Je to par nastaveni nebo je to slozity?
Jeste se zeptatam nevite, jestli se snazi nejaci roboti na toto utocit? Ono defakto, pokud jdu tunel internetem tak nikdo mimo obou provideru nemuze ten tunel narusit, je to tak?
Jinak u tech RB4xx to sedi na tech 10Mbps, mam ozkouseno, protoze momentalne mam dva a vic to nedokaze, prave se snazim vymenit v bazaru, ale pochybuju, ze by se nekdo chtel zbavit...
Takze se asi vratim zpet k eoip v tunelu pptp nebo l2tp, sice je to slozejsi na konfiguraci, ale dostanu tim vic dat...
Jeste me napada jak moc slozite bude udelat ipsec tunel z linuxoveho serveru idealne debianu? Je to par nastaveni nebo je to slozity?
0 x
Utočí na L2TP/PPTP/SSTP tunely? Občas vidím nějaký náhodný scan s pokusy na profláklé loginy. Systematicky asi jen na objednávku (dneska dodáváno jako služba "specializovanými firmami") .
Takže stačí jen limitovat počty nových spojení, u SSTP třeba (pokud bude jen tunel ROS-ROS) nasadit certifikát i pro klienta, při pevných adresách firewallem omezit odkud jde spojení a je relativně klid..
Ach jo, na co ten EoIP uvnitř PPTP/L2TP? Chceš zachovat MTU1500 pro procházející data? Tak si v PPP na serveur i klientiu akticuj MRRU a dej 1500, samo to pak řeší fragmentaci/znovusestavneí paketů do MTU1500. NEbo potřebuješ L2 tunel? Tak jenutno dát MRRU aspoň na 1520 (až je místo i pro ethernet hlavičku) a v profiles daného spojení opět na obou stranách přidej do volby bridge jméno SW bridge, které chceš propojit - a máš L2 tunel přes PPTP/L2TP/SSTP bez EoIP opičky a režie navíc...
V Linuchu je vytvoření IPsec tunelu asi stejně složité, jak v ROSu. Pro Debian je i houtůů třeba zde: http://wiki.debian.org/IPsec
Takže stačí jen limitovat počty nových spojení, u SSTP třeba (pokud bude jen tunel ROS-ROS) nasadit certifikát i pro klienta, při pevných adresách firewallem omezit odkud jde spojení a je relativně klid..
Ach jo, na co ten EoIP uvnitř PPTP/L2TP? Chceš zachovat MTU1500 pro procházející data? Tak si v PPP na serveur i klientiu akticuj MRRU a dej 1500, samo to pak řeší fragmentaci/znovusestavneí paketů do MTU1500. NEbo potřebuješ L2 tunel? Tak jenutno dát MRRU aspoň na 1520 (až je místo i pro ethernet hlavičku) a v profiles daného spojení opět na obou stranách přidej do volby bridge jméno SW bridge, které chceš propojit - a máš L2 tunel přes PPTP/L2TP/SSTP bez EoIP opičky a režie navíc...
V Linuchu je vytvoření IPsec tunelu asi stejně složité, jak v ROSu. Pro Debian je i houtůů třeba zde: http://wiki.debian.org/IPsec
0 x
ako to nastavim mam na servery teda na jednom conecte mam L2TP server adresa 192.168.69.1 na druhom a conecte mam L2TPclienta adresa 192.168.69.19 spojenie je aktivne teda tunel facha ak som pripojeny s pc na konekte kde je nastaveny L2TP server tak sa cez winbox pripojim aj na adresu klienta 192.168.69.19 a manazujem winbox ale ak som pripojeny na konekte klienta tak na adresu servera 192.168.69.1 sa nepripojim,s winboxom sa dostanem len do okna retrieving preferences from 192.168.69.1 a po chvili router has ben disconnect! Vie mi niekto poradit ako a co nastavit aby boli pristupne zariadenie z oboch stran tunela?dik
0 x