From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <wise@nowhere.kiev.ua>
Date: Thu, 18 Jan 2007 09:49:20 +0200
From: Sergey V Kovalyov <wise@nowhere.kiev.ua>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Message-ID: <20070118074920.GB6872@work.nowhere.kiev.ua>
References: <200701132223.34364.a_s_y@sama.ru> <op.tl36kuekg3myka@alt>
	<45ABA38A.9070301@altlinux.ru>
	<200701161232.47993.dnsmaster@yandex.ru>
	<20070117081158.GA10645@work.nowhere.kiev.ua>
	<45ADE03F.2030204@altlinux.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <45ADE03F.2030204@altlinux.ru>
User-Agent: Mutt/1.5.13 (2006-08-11)
Subject: Re: [Sysadmins] =?koi8-r?b?dnBuIHNlcnZlciDJIHdpbmRvd3Mty8zJxc7U?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 18 Jan 2007 07:49:31 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20070118074920.GB6872@work.nowhere.kiev.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Wed, Jan 17, 2007 at 10:37:19AM +0200, Andrei Bulava wrote:

> >> Странно, как же оно тогда работает? :)
> >> Знаю немало примеров...
> > 
> > По-моему, был неофициальный модуль для connection tracking.
> 
> conntrack_pptp, отсутствующий в ALM 2.4 и CentOS 4. Для некоторых
> суровых мужчин, не склонных к пересборке ядер и уж тем более iptables
> своими силами, это и значит "слабая совместимость GRE-инкапсуляции с
> iptables SNAT/MASQUERADE". Я же не говорил про "полное отсутствие
> совместимости"?

Это не мне. Я просто объяснял предыдущему оратору, почему оно
работает.

> Копайте в сторону того, что советует сам вендор:
> 
> When Joshua Wright reported this to Microsoft's official security
> response team, Microsoft gave this official response.
> 
>     * Implement and enforce a strong password policy.
>     * If users wish to continue using PPTP, they should employ EAP-TLS
> authentication instead of the default MSCHAPv2 authentication mechanism.
>     * Switch to an L2TP/IPSEC based VPN.

А нам не надо ;). Мы пешком... то есть, с OpenVPN постоим ;)

Я, вообще, с трудом представляю, как человек, который не хочет
enforce клиентов на поставить VPN клиента, будет их enforce на
strong pasword policy. Для клиентов -- это будет гораздо больший
PITA (pain in the ass).