* [Sysadmins] vpn server и windows-клиент @ 2007-01-13 18:23 Sergey 2007-01-13 22:39 ` Konnov Andrey 0 siblings, 1 reply; 14+ messages in thread From: Sergey @ 2007-01-13 18:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss Приветствую. А что сейчас модно использовать для организации VPN-сервера с поддержкой штатных Win-клиентов ? По большей части везде OpenVPN описан, но у него свой клиент вроде как... -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-13 18:23 [Sysadmins] vpn server и windows-клиент Sergey @ 2007-01-13 22:39 ` Konnov Andrey 2007-01-15 15:53 ` Andrei Bulava 0 siblings, 1 reply; 14+ messages in thread From: Konnov Andrey @ 2007-01-13 22:39 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Sat, 13 Jan 2007 21:23:34 +0300, Sergey <a_s_y@sama.ru> wrote: > Приветствую. > > А что сейчас модно использовать для организации VPN-сервера с поддержкой > штатных Win-клиентов ? По большей части везде OpenVPN описан, но у него > свой клиент вроде как... > pptpd - Сервер сетевых соединений PPTP -- Konnov Andrey ankon at altlinux.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-13 22:39 ` Konnov Andrey @ 2007-01-15 15:53 ` Andrei Bulava 2007-01-15 17:52 ` Olvin 2007-01-16 9:32 ` ABATAPA 0 siblings, 2 replies; 14+ messages in thread From: Andrei Bulava @ 2007-01-15 15:53 UTC (permalink / raw) To: ALT Linux sysadmin discuss Konnov Andrey wrote: > On Sat, 13 Jan 2007 21:23:34 +0300, Sergey <a_s_y@sama.ru> wrote: > >> Приветствую. >> >> А что сейчас модно использовать для организации VPN-сервера с поддержкой >> штатных Win-клиентов ? По большей части везде OpenVPN описан, но у него >> свой клиент вроде как... >> > > pptpd - Сервер сетевых соединений PPTP Упаси вас господь от pptp. Мало того, что безопасность там хромает by design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE (ограничение на количество клиентов pptp, работающих через шлюз со SNAT/MASQUERADE - 1 шт. одновременно). -- // AB1002-UANIC ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-15 15:53 ` Andrei Bulava @ 2007-01-15 17:52 ` Olvin 2007-01-16 9:32 ` ABATAPA 1 sibling, 0 replies; 14+ messages in thread From: Olvin @ 2007-01-15 17:52 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrei Bulava пишет: >>>А что сейчас модно использовать для организации VPN-сервера с поддержкой >>>штатных Win-клиентов ? По большей части везде OpenVPN описан, но у него >>>свой клиент вроде как... >>pptpd - Сервер сетевых соединений PPTP > Упаси вас господь от pptp. Мало того, что безопасность там хромает by > design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и > слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE > (ограничение на количество клиентов pptp, работающих через шлюз со > SNAT/MASQUERADE - 1 шт. одновременно). Это как? На работе было pptp как-то, работало. Несколько клиентов одновременно, через маскарад. Настраивал не я, но точно знаю, что было это на linux (Gentoo). Если не pptp, то что посоветуете? ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-15 15:53 ` Andrei Bulava 2007-01-15 17:52 ` Olvin @ 2007-01-16 9:32 ` ABATAPA 2007-01-17 8:11 ` Sergey V Kovalyov 1 sibling, 1 reply; 14+ messages in thread From: ABATAPA @ 2007-01-16 9:32 UTC (permalink / raw) To: ALT Linux sysadmin discuss 15 января 2007 18:53, Andrei Bulava написал: > Упаси вас господь от pptp. Мало того, что безопасность там хромает by > design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и > слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE > (ограничение на количество клиентов pptp, работающих через шлюз со > SNAT/MASQUERADE - 1 шт. одновременно). Странно, как же оно тогда работает? :) Знаю немало примеров... -- ABATAPA ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-16 9:32 ` ABATAPA @ 2007-01-17 8:11 ` Sergey V Kovalyov 2007-01-17 8:32 ` Sergey 2007-01-17 8:37 ` Andrei Bulava 0 siblings, 2 replies; 14+ messages in thread From: Sergey V Kovalyov @ 2007-01-17 8:11 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Tue, Jan 16, 2007 at 12:32:47PM +0300, ABATAPA wrote: > > Упаси вас господь от pptp. Мало того, что безопасность там хромает by > > design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и > > слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE > > (ограничение на количество клиентов pptp, работающих через шлюз со > > SNAT/MASQUERADE - 1 шт. одновременно). > Странно, как же оно тогда работает? :) > Знаю немало примеров... По-моему, был неофициальный модуль для connection tracking. ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 8:11 ` Sergey V Kovalyov @ 2007-01-17 8:32 ` Sergey 2007-01-18 7:41 ` Sergey V Kovalyov 2007-01-17 8:37 ` Andrei Bulava 1 sibling, 1 reply; 14+ messages in thread From: Sergey @ 2007-01-17 8:32 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Wednesday 17 January 2007 12:11, Sergey V Kovalyov wrote: > > Странно, как же оно тогда работает? :) > > Знаю немало примеров... > > По-моему, был неофициальный модуль для connection tracking. То есть ? В 2.6.18 вполне себе есть ip_conntrack_pptp и ip_nat_pptp. ;-) -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 8:32 ` Sergey @ 2007-01-18 7:41 ` Sergey V Kovalyov 2007-01-18 8:22 ` Sergey 0 siblings, 1 reply; 14+ messages in thread From: Sergey V Kovalyov @ 2007-01-18 7:41 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Wed, Jan 17, 2007 at 12:32:32PM +0400, Sergey wrote: > > > Странно, как же оно тогда работает? :) > > > Знаю немало примеров... > > > > По-моему, был неофициальный модуль для connection tracking. > > То есть ? В 2.6.18 вполне себе есть ip_conntrack_pptp и ip_nat_pptp. Я вопросом интересовался года два назаад. Насколько помню, тогда он был весьма неофициальный. Да и вот, говорят, что в CentOS 4 тоже нима. И у ALT нет дистрибутивов с 2.6.18 ядром. В общем, оно, конечно, как-то работает. Но PPTP следует рассматривать исключительно как транспортный уровень. А поверх запускать ssh т.п. А в если мы поставили на Windows что-то "такое прочее", то что нам помешает поставить и клиента для адекватного VPN? Так что, аргумент "работает со стандартным Windows клиентом" -- это от админоской лени. Интересно, какой процент инцендентов, связанных с безопасностью, происходит по этой причине?! ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-18 7:41 ` Sergey V Kovalyov @ 2007-01-18 8:22 ` Sergey 0 siblings, 0 replies; 14+ messages in thread From: Sergey @ 2007-01-18 8:22 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Thursday 18 January 2007 11:41, Sergey V Kovalyov wrote: > Так что, аргумент "работает со стандартным Windows > клиентом" -- это от админоской лени. Может быть. Но меня попросили сделать именно такой вариант. Windows я вообще не занимаюсь, так что там ставить и выбирать уже не мне. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 8:11 ` Sergey V Kovalyov 2007-01-17 8:32 ` Sergey @ 2007-01-17 8:37 ` Andrei Bulava 2007-01-17 9:23 ` Sergey 2007-01-18 7:49 ` Sergey V Kovalyov 1 sibling, 2 replies; 14+ messages in thread From: Andrei Bulava @ 2007-01-17 8:37 UTC (permalink / raw) To: ALT Linux sysadmin discuss Sergey V Kovalyov wrote: > On Tue, Jan 16, 2007 at 12:32:47PM +0300, ABATAPA wrote: > >>> Упаси вас господь от pptp. Мало того, что безопасность там хромает by >>> design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и >>> слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE >>> (ограничение на количество клиентов pptp, работающих через шлюз со >>> SNAT/MASQUERADE - 1 шт. одновременно). >> Странно, как же оно тогда работает? :) >> Знаю немало примеров... > > По-моему, был неофициальный модуль для connection tracking. conntrack_pptp, отсутствующий в ALM 2.4 и CentOS 4. Для некоторых суровых мужчин, не склонных к пересборке ядер и уж тем более iptables своими силами, это и значит "слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE". Я же не говорил про "полное отсутствие совместимости"? Выбирать дистр исходя из поддержки conntrack_pptp - не мой стиль. Тем более, что см. п.1 - "безопасность там хромает". Копайте в сторону того, что советует сам вендор: When Joshua Wright reported this to Microsoft's official security response team, Microsoft gave this official response. * Implement and enforce a strong password policy. * If users wish to continue using PPTP, they should employ EAP-TLS authentication instead of the default MSCHAPv2 authentication mechanism. * Switch to an L2TP/IPSEC based VPN. -- // AB1002-UANIC ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 8:37 ` Andrei Bulava @ 2007-01-17 9:23 ` Sergey 2007-01-19 10:19 ` Ildar Mulyukov 2007-01-18 7:49 ` Sergey V Kovalyov 1 sibling, 1 reply; 14+ messages in thread From: Sergey @ 2007-01-17 9:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Wednesday 17 January 2007 12:37, Andrei Bulava wrote: > * Switch to an L2TP/IPSEC based VPN. А чем это обеспечивается в *nix и, опять же, поддерживается ли стандартным клиентом Wondows ? И, если поддерживается, то с какой версии ? -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 9:23 ` Sergey @ 2007-01-19 10:19 ` Ildar Mulyukov 2007-01-19 14:32 ` Sergey 0 siblings, 1 reply; 14+ messages in thread From: Ildar Mulyukov @ 2007-01-19 10:19 UTC (permalink / raw) To: sysadmins On 17.01.2007 15:23:58, Sergey wrote: > On Wednesday 17 January 2007 12:37, Andrei Bulava wrote: > > * Switch to an L2TP/IPSEC based VPN. > А чем это обеспечивается в *nix и, опять же, поддерживается ли > стандартным > клиентом Wondows ? И, если поддерживается, то с какой версии ? swan -- Ildar Mulyukov, free SW designer/programmer/packager ========================================= email: ildar@altlinux.ru Jabber: ildar@jabber.ru ICQ: 4334029 ALT Linux Sisyphus http://www.sisyphus.ru ========================================= ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-19 10:19 ` Ildar Mulyukov @ 2007-01-19 14:32 ` Sergey 0 siblings, 0 replies; 14+ messages in thread From: Sergey @ 2007-01-19 14:32 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Friday 19 January 2007 14:19, Ildar Mulyukov wrote: > > клиентом Wondows ? И, если поддерживается, то с какой версии ? > swan Уже нашёл, уже выяснил, что у нас пакет выпал из Сизифа, и, говорят, не нужен ввиду наличия ipsec-tools. ipsec-tools пока не посмотрел. -- С уважением, Сергей a_s_y@sama.ru ^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Sysadmins] vpn server и windows-клиент 2007-01-17 8:37 ` Andrei Bulava 2007-01-17 9:23 ` Sergey @ 2007-01-18 7:49 ` Sergey V Kovalyov 1 sibling, 0 replies; 14+ messages in thread From: Sergey V Kovalyov @ 2007-01-18 7:49 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Wed, Jan 17, 2007 at 10:37:19AM +0200, Andrei Bulava wrote: > >> Странно, как же оно тогда работает? :) > >> Знаю немало примеров... > > > > По-моему, был неофициальный модуль для connection tracking. > > conntrack_pptp, отсутствующий в ALM 2.4 и CentOS 4. Для некоторых > суровых мужчин, не склонных к пересборке ядер и уж тем более iptables > своими силами, это и значит "слабая совместимость GRE-инкапсуляции с > iptables SNAT/MASQUERADE". Я же не говорил про "полное отсутствие > совместимости"? Это не мне. Я просто объяснял предыдущему оратору, почему оно работает. > Копайте в сторону того, что советует сам вендор: > > When Joshua Wright reported this to Microsoft's official security > response team, Microsoft gave this official response. > > * Implement and enforce a strong password policy. > * If users wish to continue using PPTP, they should employ EAP-TLS > authentication instead of the default MSCHAPv2 authentication mechanism. > * Switch to an L2TP/IPSEC based VPN. А нам не надо ;). Мы пешком... то есть, с OpenVPN постоим ;) Я, вообще, с трудом представляю, как человек, который не хочет enforce клиентов на поставить VPN клиента, будет их enforce на strong pasword policy. Для клиентов -- это будет гораздо больший PITA (pain in the ass). ^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2007-01-19 14:32 UTC | newest] Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2007-01-13 18:23 [Sysadmins] vpn server и windows-клиент Sergey 2007-01-13 22:39 ` Konnov Andrey 2007-01-15 15:53 ` Andrei Bulava 2007-01-15 17:52 ` Olvin 2007-01-16 9:32 ` ABATAPA 2007-01-17 8:11 ` Sergey V Kovalyov 2007-01-17 8:32 ` Sergey 2007-01-18 7:41 ` Sergey V Kovalyov 2007-01-18 8:22 ` Sergey 2007-01-17 8:37 ` Andrei Bulava 2007-01-17 9:23 ` Sergey 2007-01-19 10:19 ` Ildar Mulyukov 2007-01-19 14:32 ` Sergey 2007-01-18 7:49 ` Sergey V Kovalyov
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git