[Sysadmins] vpn server и windows-клиент

Andrei Bulava =?iso-8859-1?q?abulava_=CE=C1_altlinux=2Eru?=
Ср Янв 17 11:37:19 MSK 2007


Sergey V Kovalyov wrote:
> On Tue, Jan 16, 2007 at 12:32:47PM +0300, ABATAPA wrote:
> 
>>> Упаси вас господь от pptp. Мало того, что безопасность там хромает by
>>> design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и
>>> слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE
>>> (ограничение на количество клиентов pptp, работающих через шлюз со
>>> SNAT/MASQUERADE - 1 шт. одновременно).
>> Странно, как же оно тогда работает? :)
>> Знаю немало примеров...
> 
> По-моему, был неофициальный модуль для connection tracking.

conntrack_pptp, отсутствующий в ALM 2.4 и CentOS 4. Для некоторых
суровых мужчин, не склонных к пересборке ядер и уж тем более iptables
своими силами, это и значит "слабая совместимость GRE-инкапсуляции с
iptables SNAT/MASQUERADE". Я же не говорил про "полное отсутствие
совместимости"?

Выбирать дистр исходя из поддержки conntrack_pptp - не мой стиль. Тем
более, что см. п.1 - "безопасность там хромает".

Копайте в сторону того, что советует сам вендор:

When Joshua Wright reported this to Microsoft's official security
response team, Microsoft gave this official response.

    * Implement and enforce a strong password policy.
    * If users wish to continue using PPTP, they should employ EAP-TLS
authentication instead of the default MSCHAPv2 authentication mechanism.
    * Switch to an L2TP/IPSEC based VPN.

-- 
// AB1002-UANIC




Подробная информация о списке рассылки Sysadmins