[Sysadmins] vpn server и windows-клиент
Andrei Bulava
=?iso-8859-1?q?abulava_=CE=C1_altlinux=2Eru?=
Ср Янв 17 11:37:19 MSK 2007
Sergey V Kovalyov wrote:
> On Tue, Jan 16, 2007 at 12:32:47PM +0300, ABATAPA wrote:
>
>>> Упаси вас господь от pptp. Мало того, что безопасность там хромает by
>>> design (см. http://www.schneier.com/paper-pptpv2.html ), так ещё и
>>> слабая совместимость GRE-инкапсуляции с iptables SNAT/MASQUERADE
>>> (ограничение на количество клиентов pptp, работающих через шлюз со
>>> SNAT/MASQUERADE - 1 шт. одновременно).
>> Странно, как же оно тогда работает? :)
>> Знаю немало примеров...
>
> По-моему, был неофициальный модуль для connection tracking.
conntrack_pptp, отсутствующий в ALM 2.4 и CentOS 4. Для некоторых
суровых мужчин, не склонных к пересборке ядер и уж тем более iptables
своими силами, это и значит "слабая совместимость GRE-инкапсуляции с
iptables SNAT/MASQUERADE". Я же не говорил про "полное отсутствие
совместимости"?
Выбирать дистр исходя из поддержки conntrack_pptp - не мой стиль. Тем
более, что см. п.1 - "безопасность там хромает".
Копайте в сторону того, что советует сам вендор:
When Joshua Wright reported this to Microsoft's official security
response team, Microsoft gave this official response.
* Implement and enforce a strong password policy.
* If users wish to continue using PPTP, they should employ EAP-TLS
authentication instead of the default MSCHAPv2 authentication mechanism.
* Switch to an L2TP/IPSEC based VPN.
--
// AB1002-UANIC
Подробная информация о списке рассылки Sysadmins