zulu_gluk 23 Опубліковано: 2010-09-24 14:54:39 Share Опубліковано: 2010-09-24 14:54:39 В принципе, мак клиента на ближайшем свиче и пинг на не.го саппорт увидит еще проще. Вы действительно так считаете? А если мак прописал себе сосед и icmp трафик заблочен? Ситуация неоднозначна, в случае туннеля все проще. Возможно мы работаем на разном оборудовании, у меня Linux (не помню уже какой), так вот все сессии хорошо видимы, что для pptp, что для pppoe. Под термином VPN я имел ввиду pptp/pppoe 4. Маршрутизация (L3) vs VLAN (L2). Думаю здесь и так понятно со стоимостью оборудования, что дешевле. нужно ядро которое сможет держать 10-20 тысяч маков Зато имеем такой плюс, как распределение VLAN - на несколько NAS серверов, следовательно более распределенная нагрузка на сервера. если вы просто кинете вланы 1,2,3 на НАС1, а вланы 4,5,6 на НАС2, то ни загрузка не будет равномерная А вот в случае с VPN - это я так понимаю нужно пользователю говорить/настраивать куда ему соединяться на vpn1.homenet.ua или vpnX.homenet.ua. самое простое rrdns - делаем запись vpn.homenet.ua, ей несколько ip - балансится нормально. Или покупать один ОХ_КАКОЙ_ДОРОГОЙ самовар и потом настраивать его. часто дешевле обслуживать "ОХ_КАКОЙ_ДОРОГОЙ самовар" чем толстую пачку дешевых серверов Ссылка на сообщение Поделиться на других сайтах
serj@team 0 Опубліковано: 2010-09-24 15:10:27 Share Опубліковано: 2010-09-24 15:10:27 Случай с pptp решаем, когда в настройках впн у клиента фигурирует доменное имя, а не айпи - round-robin dns например в зубы и получаем какую-никакую, но балансировку между серверами, правда вопрос отказоустойчивости остается открытым. Но требует как обычно нормальной настройки локальной сети у клиента По сравнениям общим секьюрности - это скорее на баш стоит отправить... ВПН плох как минимум не только тем, что более прожорлив для оператора, но вы еще забываете пользовательскую сторону. В большинстве дешевых "гэ-линк" роутеров pptp vs pppoe - это разница в 10-20% в скорости и менее частым зависаниям этих животных на высокоскоростных тарифных планах. Шифрование - паранойя нужна там где это необходимо, а не везде. По вопросам мониторинга - да чем проще-то? разница практически нулевая. Или клиент есть в сети, или его нет, или у него потери жуткие - мониторится абсолютно одинаково. С точки зрения ошибок авторизации пользователя в сети - действительно сложнее, но тоже решаемо. P.S>> не успел запостить, опередили Случай с "самоваром" тоже имеет обратную ОЧЕНЬ ПЛОХУЮ сторону, что в крупных городах в случае выхода оного по хардварным причинам вопрос замены решается быстро. то в менее развитых в плане IT городов нужно таких самоваров "каждой твари по паре" иметь, дабы не кусать локти и рвать волосы на пятой точке когда один из модулей блейда взял и копыта отбросил, а вы как бешеная собака метаетесь по всем окрестностям, чтобы в течении ближайшего часа найти замену. Ссылка на сообщение Поделиться на других сайтах
ZuarasiZ 37 Опубліковано: 2010-09-24 15:51:22 Share Опубліковано: 2010-09-24 15:51:22 если вы просто кинете вланы 1,2,3 на НАС1, а вланы 4,5,6 на НАС2, то ни загрузка не будет равномерная VLAN2, VLAN3, VLAN4 - NAS0 VLAN3, VLAN4, VLAN5 - NAS1 VLAN4, VLAN5, VLAN2 - NAS2 VLAN2, VLAN3, VLAN4, VLAN5 - NAS-4 Здесь NAS-4 авторизует только тех кому выдаются статические IP-адреса. И почему при такой схеме загрузка не будет равномерной? Ссылка на сообщение Поделиться на других сайтах
emon 9 Опубліковано: 2010-09-24 16:56:58 Автор Share Опубліковано: 2010-09-24 16:56:58 чтоб знал что до такого дойдет - не постил бы тему. из личного, хоть и очень малого опыта, скажу: сеть в 50 юзеров(инет раздает микроштык). сначала было IPoE, нашлись юзеры которые подменяют и МАКи и АЙПИ адреса. Перевел всех на ПППОЕ, вопрос с подменой решился, НО, нужен шейпер пакетов, ибо торентами "валят" всю сеть. Есть идея поставить еще один микроштык только для шейпинга и очередей пакетов. что скажете? логично это или нет? Ссылка на сообщение Поделиться на других сайтах
Artem_IPNet 3 Опубліковано: 2010-09-24 17:17:21 Share Опубліковано: 2010-09-24 17:17:21 Интересная тема. Сейчас стоит микротик и pppoe. Возникает часто проблема с настройками айпи, шлюзов и днс для локалки у юзеров, хотя поднят dhcp. Подскажите как можно организовать авторизацию и мониторинг клиентов, что бы они не создавали подключения и авторизировались по маку? сеть на 90% из мыльниц. Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2010-09-24 17:17:45 Share Опубліковано: 2010-09-24 17:17:45 Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы. Ссылка на сообщение Поделиться на других сайтах
emon 9 Опубліковано: 2010-09-24 17:32:32 Автор Share Опубліковано: 2010-09-24 17:32:32 Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы. профайлы созданы, скорость нарезана. как бы еще кол-во сессий ограничить каждому юзеру ??? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2010-09-24 18:12:55 Share Опубліковано: 2010-09-24 18:12:55 Зачем? У вас конкурентов мало? Ссылка на сообщение Поделиться на других сайтах
winbox 15 Опубліковано: 2010-09-24 18:35:45 Share Опубліковано: 2010-09-24 18:35:45 Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы. профайлы созданы, скорость нарезана. как бы еще кол-во сессий ограничить каждому юзеру ??? 59 ;;; PIZDZ chain=forward action=drop tcp-flags=syn connection-state=new protocol=tcp out-interface=l2tp-out1 dst-port=1000-65535 connection-limit=10,32 ограничение на колво сессий с 1000 порта и до конца, имхо для п2п чуток) Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-29 17:53:55 Share Опубліковано: 2013-05-29 17:53:55 2 andryas: Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2, которые практически не ломаются и какого-либо смысла в обладании несколькими сотнями перехваченных хешей паролей нет. Ну я лично пробовал и чо? Отлично перехватываются ибо у всех клиентов стоит галочка на РАР.Вот недавно инет валялся (РРРоЕ сервер не отвечал) а у меня как раз линукс установлен был.Поднять такую ловушку-делов на 5 минут как оказалось.А ещё через минуту у меня были десятки учеток причем не только с соседних домов, но и с соседнего микрорайона)) Хотя всё отлично ловится и при рабочем концентраторе провайдера.Надо только иметь терпение.Я уже не говорю о том, что можно выключить авторизацию и подцепить себе всех клиентов.Если есть резеврный пров-можно пропускать их через себя ну а там уже на что хватит умения и совести=) У меня в наличии управляемый коммутатор, два ноутбука, роутер и два разных провайдера.Так что по сути, возможнсти безграничны.Но я добрый)) Кстати, в РРТР по крайней мере в семерке небезопасные пароли запрещены по дефолту.Так что в этом плане оно чуть надежней.Но в целом и в 2010 году когда обсуждалась тема и сейчас в 2013 суть одна: ненастроенная либо неуправляемая сеть-зло.А так имхо РРРоЕ удобней не только прову но и пользователю ибо не нужно ничего кроме имени и пароля.Могу ошибаться, но если концентратор меняется, то проще на нём как то вбить старый МАС, чем на каждом коммутаторе.Но будущее за IPoE конечно. Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-05-30 06:23:11 Share Опубліковано: 2013-05-30 06:23:11 2 andryas: Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2, которые практически не ломаются и какого-либо смысла в обладании несколькими сотнями перехваченных хешей паролей нет. Ну я лично пробовал и чо? Отлично перехватываются ибо у всех клиентов стоит галочка на РАР.Вот недавно инет валялся (РРРоЕ сервер не отвечал) а у меня как раз линукс установлен был.Поднять такую ловушку-делов на 5 минут как оказалось.А ещё через минуту у меня были десятки учеток причем не только с соседних домов, но и с соседнего микрорайона)) Ваш положительный опыт говорит разве что о том что ваш провайдер - дибил. 1) включенный PAP, а так же любые другие кривые настройки у клиента должны быть максимум у единичных пользователей(владельцев макбука или linux'a), ибо под виндой соединение создается простейшими утилитками со всеми настройками сразу. Не написал такую штуку нынче только ленивый или тупой. 2) пароли во всего микрорайона - тем более фантазии, клиентский влан обычно заканчивается на доме. Даже если в самом доме свичи доступа тупые, на агрегации района то стоит умная железка с вланами. Так что со своего домашнего порта, вы с двумя ноутбуками, управляемым свичем и безграничными возможностями нихрена сделать не можете) Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-30 12:07:03 Share Опубліковано: 2013-05-30 12:07:03 (відредаговано) 1)Судя по МАСам-это роутеры и обычные виндовс компы со встроенными коннект менеджерами.Дома я проверил теорию-всё работает.Так что тут тебе надо подучить. 2)То что провайдер дебил это факт.Но не будь и ты дебилом.Вланов у нас нет, хотя часть оборудования их точно поддерживает.Если часть сети сделана кольцом, то агрегация в принципе не нужна, и так всё перехватится.Хотя из моих наблюдений, дефот небыл доступен, но это не значит, что линки не доходили до агрегации. В сети были найдены с десяток свичей DES-2108.Как видишь, все поддерживают VLAN, но все они были ненастроены.Так что я сделал, всё, что хотел.Заодно и твою теорию безопасности РРРоЕ обломал)) Відредаговано 2013-05-30 12:08:55 PPPoE Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2013-05-30 12:48:49 Share Опубліковано: 2013-05-30 12:48:49 1)Судя по МАСам-это роутеры и обычные виндовс компы со встроенными коннект менеджерами.Дома я проверил теорию-всё работает.Так что тут тебе надо подучить. 2)То что провайдер дебил это факт.Но не будь и ты дебилом.Вланов у нас нет, хотя часть оборудования их точно поддерживает.Если часть сети сделана кольцом, то агрегация в принципе не нужна, и так всё перехватится.Хотя из моих наблюдений, дефот небыл доступен, но это не значит, что линки не доходили до агрегации. В сети были найдены с десяток свичей DES-2108.Как видишь, все поддерживают VLAN, но все они были ненастроены.Так что я сделал, всё, что хотел.Заодно и твою теорию безопасности РРРоЕ обломал)) У вас логика не хромает. Провайдер, получается, дебил, а значит технология говно - так? То что вы нашли пионернет и натырили там паролей не означает что на PPPoE нельзя построить безопасную сеть. Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-30 13:13:16 Share Опубліковано: 2013-05-30 13:13:16 (відредаговано) Это было в ответ на то, что мол РАР уже не используют: Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2 На деле используют то, что прикажет сервер.Поэтому в пионернете c сервером-ловушкой РРРоЕ ниразу не защищен.В отличии от РРТР, где выдать себя за легитимный сервер сложнее и передать незишифрованный пароль практически нереально. То есть в пионернете РРТР будет безопасней.И я думаю, не только у меня такой провайдер, так что в целом по стране тоже актуально. Відредаговано 2013-05-30 13:13:41 PPPoE Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2013-05-30 13:56:52 Share Опубліковано: 2013-05-30 13:56:52 ... На деле используют то, что прикажет сервер.Поэтому в пионернете c сервером-ловушкой РРРоЕ ниразу не защищен.В отличии от РРТР, где выдать себя за легитимный сервер сложнее и передать незишифрованный пароль практически нереально. То есть в пионернете РРТР будет безопасней.И я думаю, не только у меня такой провайдер, так что в целом по стране тоже актуально. Если я правильно помню, можно затребовать использование MSCHAP2 и не коннектиться к серверу который его не умеет. Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-30 14:20:35 Share Опубліковано: 2013-05-30 14:20:35 Можно то можно.Но никто из среднестатистических посетителей вконтакте этого не делает)) О том то и речь.Остаётся ждать, когда мелкософт и производители роутеров выключат РАР по-умолчанию.А они это наврятли сделают. Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2013-05-30 14:28:37 Share Опубліковано: 2013-05-30 14:28:37 Ипануться в пень башкой, а на дворе 2013й год.... Ссылка на сообщение Поделиться на других сайтах
nightfly 1 241 Опубліковано: 2013-05-30 14:47:34 Share Опубліковано: 2013-05-30 14:47:34 Не все в курсе. Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-30 15:04:54 Share Опубліковано: 2013-05-30 15:04:54 Я тоже так подумал, когда увидел, как они работают.Но сеть строилась почти 10 лет назад мелким региональным провайдером так что не удивительно. Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2013-05-30 20:53:45 Share Опубліковано: 2013-05-30 20:53:45 Адептам PPTP - задачка: сколько пптп туннель выжмет мбит на каком-то 2-головом пеньке по 2ггц на голову? Учитывая, что в виндах пптп крутится в юзерленде, в отличие от л2тп/пппое? О л2тп - это отдельная, печальная песня для владельцев роутеров... Ссылка на сообщение Поделиться на других сайтах
Володя 12 Опубліковано: 2013-05-30 21:03:23 Share Опубліковано: 2013-05-30 21:03:23 Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важно Ссылка на сообщение Поделиться на других сайтах
madf 279 Опубліковано: 2013-05-31 05:19:31 Share Опубліковано: 2013-05-31 05:19:31 Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важноСейчас надо не на PPPoE переходить а на IPoE. Ссылка на сообщение Поделиться на других сайтах
Володя 12 Опубліковано: 2013-05-31 05:40:43 Share Опубліковано: 2013-05-31 05:40:43 Частный сектор постоен на тупых свичах. Это ж не безопасно? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 711 Опубліковано: 2013-05-31 05:44:40 Share Опубліковано: 2013-05-31 05:44:40 Адептам PPTP - задачка: сколько пптп туннель выжмет мбит на каком-то 2-головом пеньке по 2ггц на голову? Учитывая, что в виндах пптп крутится в юзерленде, в отличие от л2тп/пппое? О л2тп - это отдельная, печальная песня для владельцев роутеров... Вопрос скорее в том, сколько выдаст какой-нить dir-300 на pptp. И как потом объяснять клиенту что его роутер говно, если у конкурента он вполне нормально работает. Ссылка на сообщение Поделиться на других сайтах
PPPoE 8 Опубліковано: 2013-05-31 06:12:06 Share Опубліковано: 2013-05-31 06:12:06 Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важно А может оба сразу? У нас раньше так и было.Только год назад РРТР убрали. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас