pppoe или pptp ?

[zulu_gluk 23]

В принципе, мак клиента на ближайшем свиче и пинг на не.го саппорт увидит еще проще.

 

Вы действительно так считаете? А если мак прописал себе сосед и icmp трафик заблочен? Ситуация неоднозначна, в случае туннеля все проще.

 

Возможно мы работаем на разном оборудовании, у меня Linux (не помню уже какой), так вот все сессии хорошо видимы, что для pptp, что для pppoe.

Под термином VPN я имел ввиду pptp/pppoe

 

4. Маршрутизация (L3) vs VLAN (L2). Думаю здесь и так понятно со стоимостью оборудования, что дешевле.

нужно ядро которое сможет держать 10-20 тысяч маков

 

Зато имеем такой плюс, как распределение VLAN - на несколько NAS серверов, следовательно более распределенная нагрузка на сервера.

если вы просто кинете вланы 1,2,3 на НАС1, а вланы 4,5,6 на НАС2, то ни загрузка не будет равномерная

 

А вот в случае с VPN - это я так понимаю нужно пользователю говорить/настраивать куда ему соединяться на vpn1.homenet.ua или vpnX.homenet.ua.

самое простое rrdns - делаем запись vpn.homenet.ua, ей несколько ip - балансится нормально.

 

Или покупать один ОХ_КАКОЙ_ДОРОГОЙ самовар и потом настраивать его.

часто дешевле обслуживать "ОХ_КАКОЙ_ДОРОГОЙ самовар" чем толстую пачку дешевых серверов

[serj@team 0]

Случай с pptp решаем, когда в настройках впн у клиента фигурирует доменное имя, а не айпи - round-robin dns например в зубы и получаем какую-никакую, но балансировку между серверами, правда вопрос отказоустойчивости остается открытым. Но требует как обычно нормальной настройки локальной сети у клиента

По сравнениям общим секьюрности - это скорее на баш стоит отправить... ВПН плох как минимум не только тем, что более прожорлив для оператора, но вы еще забываете пользовательскую сторону. В большинстве дешевых "гэ-линк" роутеров pptp vs pppoe - это разница в 10-20% в скорости и менее частым зависаниям этих животных на высокоскоростных тарифных планах. Шифрование - паранойя нужна там где это необходимо, а не везде.

 

По вопросам мониторинга - да чем проще-то? разница практически нулевая. Или клиент есть в сети, или его нет, или у него потери жуткие - мониторится абсолютно одинаково. С точки зрения ошибок авторизации пользователя в сети - действительно сложнее, но тоже решаемо.

P.S>> не успел запостить, опередили

 

Случай с "самоваром" тоже имеет обратную ОЧЕНЬ ПЛОХУЮ сторону, что в крупных городах в случае выхода оного по хардварным причинам вопрос замены решается быстро. то в менее развитых в плане IT городов нужно таких самоваров "каждой твари по паре" иметь, дабы не кусать локти и рвать волосы на пятой точке когда один из модулей блейда взял и копыта отбросил, а вы как бешеная собака метаетесь по всем окрестностям, чтобы в течении ближайшего часа найти замену.

[ZuarasiZ 37]

если вы просто кинете вланы 1,2,3 на НАС1, а вланы 4,5,6 на НАС2, то ни загрузка не будет равномерная

 

VLAN2, VLAN3, VLAN4 - NAS0

VLAN3, VLAN4, VLAN5 - NAS1

VLAN4, VLAN5, VLAN2 - NAS2

 

VLAN2, VLAN3, VLAN4, VLAN5 - NAS-4

 

Здесь NAS-4 авторизует только тех кому выдаются статические IP-адреса.

И почему при такой схеме загрузка не будет равномерной?

[emon 9]

чтоб знал что до такого дойдет - не постил бы тему.

 

из личного, хоть и очень малого опыта, скажу:

сеть в 50 юзеров(инет раздает микроштык). сначала было IPoE, нашлись юзеры которые подменяют и МАКи и АЙПИ адреса. Перевел всех на ПППОЕ, вопрос с подменой решился, НО, нужен шейпер пакетов, ибо торентами "валят" всю сеть.

Есть идея поставить еще один микроштык только для шейпинга и очередей пакетов. что скажете? логично это или нет?

[Artem_IPNet 3]

Интересная тема. Сейчас стоит микротик и pppoe. Возникает часто проблема с настройками айпи, шлюзов и днс для локалки у юзеров, хотя поднят dhcp. Подскажите как можно организовать авторизацию и мониторинг клиентов, что бы они не создавали подключения и авторизировались по маку? сеть на 90% из мыльниц.

[Mobil 66]

Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы.

[emon 9]

Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы.

профайлы созданы, скорость нарезана. как бы еще кол-во сессий ограничить каждому юзеру ???

[KaYot 3 606]

Зачем? У вас конкурентов мало?

[winbox 15]

Не логично. Все может работать на одном микротике. Создавайте профайлы. И добавляйте юзеров в профайлы.

профайлы созданы, скорость нарезана. как бы еще кол-во сессий ограничить каждому юзеру ???

 

 

59 ;;; PIZDZ

chain=forward action=drop tcp-flags=syn connection-state=new protocol=tcp out-interface=l2tp-out1

dst-port=1000-65535 connection-limit=10,32

 

ограничение на колво сессий с 1000 порта и до конца, имхо для п2п чуток)

[PPPoE 8]

2 andryas:

Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2, которые практически не ломаются и какого-либо смысла в обладании несколькими сотнями перехваченных хешей паролей нет.

Ну я лично пробовал и чо?   Отлично перехватываются ибо у всех клиентов стоит галочка на РАР.Вот недавно инет валялся (РРРоЕ сервер не отвечал) а у меня как раз линукс установлен был.Поднять такую ловушку-делов на 5 минут как оказалось.А ещё через минуту у меня были десятки учеток причем не только с соседних домов, но и с соседнего микрорайона)) Хотя всё отлично ловится и при рабочем концентраторе провайдера.Надо только иметь терпение.Я уже не говорю о том, что можно выключить авторизацию и подцепить себе всех клиентов.Если есть резеврный пров-можно пропускать их через себя ну а там уже на что хватит умения и совести=) У меня в наличии управляемый коммутатор, два ноутбука, роутер и два разных провайдера.Так что по сути, возможнсти безграничны.Но я добрый))

 

Кстати, в РРТР по крайней мере в семерке небезопасные пароли запрещены по дефолту.Так что в этом плане оно чуть надежней.Но в целом и в 2010 году когда обсуждалась тема и сейчас в 2013 суть одна: ненастроенная либо неуправляемая сеть-зло.А так имхо РРРоЕ удобней не только прову но и пользователю ибо не нужно ничего кроме имени и пароля.Могу ошибаться, но если концентратор меняется, то проще на нём как то вбить старый МАС, чем на каждом коммутаторе.Но будущее за IPoE конечно.

[KaYot 3 606]

 

 

2 andryas:

Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2, которые практически не ломаются и какого-либо смысла в обладании несколькими сотнями перехваченных хешей паролей нет.

Ну я лично пробовал и чо?   Отлично перехватываются ибо у всех клиентов стоит галочка на РАР.Вот недавно инет валялся (РРРоЕ сервер не отвечал) а у меня как раз линукс установлен был.Поднять такую ловушку-делов на 5 минут как оказалось.А ещё через минуту у меня были десятки учеток причем не только с соседних домов, но и с соседнего микрорайона))

 

 

Ваш положительный опыт говорит разве что о том что ваш провайдер - дибил.

1) включенный PAP, а так же любые другие кривые настройки у клиента должны быть максимум у единичных пользователей(владельцев макбука или linux'a), ибо под виндой соединение создается простейшими утилитками со всеми настройками сразу. Не написал такую штуку нынче только ленивый или тупой.

2) пароли во всего микрорайона - тем более фантазии, клиентский влан обычно заканчивается на доме. Даже если в самом доме свичи доступа тупые, на агрегации района то стоит умная железка с вланами.

 

Так что со своего домашнего порта, вы с двумя ноутбуками, управляемым свичем и безграничными возможностями нихрена сделать не можете)

[PPPoE 8]

1)Судя по МАСам-это роутеры и обычные виндовс компы со встроенными коннект менеджерами.Дома я проверил теорию-всё работает.Так что тут тебе надо подучить.

 

2)То что провайдер дебил это факт.Но не будь и ты дебилом.Вланов у нас нет, хотя часть оборудования их точно поддерживает.Если часть сети сделана кольцом, то агрегация в принципе не нужна, и так всё перехватится.Хотя из моих наблюдений, дефот небыл доступен, но это не значит, что линки не доходили до агрегации.

 

В сети были найдены с десяток свичей DES-2108.Как видишь, все поддерживают VLAN, но все они были ненастроены.Так что я сделал, всё, что хотел.Заодно и твою теорию безопасности РРРоЕ обломал))

Відредаговано 2013-05-30 12:08:55 PPPoE

[madf 279]

1)Судя по МАСам-это роутеры и обычные виндовс компы со встроенными коннект менеджерами.Дома я проверил теорию-всё работает.Так что тут тебе надо подучить.

 

2)То что провайдер дебил это факт.Но не будь и ты дебилом.Вланов у нас нет, хотя часть оборудования их точно поддерживает.Если часть сети сделана кольцом, то агрегация в принципе не нужна, и так всё перехватится.Хотя из моих наблюдений, дефот небыл доступен, но это не значит, что линки не доходили до агрегации.

 

В сети были найдены с десяток свичей DES-2108.Как видишь, все поддерживают VLAN, но все они были ненастроены.Так что я сделал, всё, что хотел.Заодно и твою теорию безопасности РРРоЕ обломал))

У вас логика не хромает. Провайдер, получается, дебил, а значит технология говно - так?

То что вы нашли пионернет и натырили там паролей не означает что на PPPoE нельзя построить безопасную сеть.

[PPPoE 8]

Это было в ответ на то, что мол РАР уже не используют:

 

 

Лично пробовал перехватывать пароли pppoe? Имхо страшилки про перехват идут со времен win95 и модемов, когда авторизация везде использовалась PAP(нешифрованный пароль). Сейчас используется chap/mschap/mschap2

 

На деле используют то, что прикажет сервер.Поэтому в пионернете c сервером-ловушкой РРРоЕ ниразу не защищен.В отличии от РРТР, где выдать себя за легитимный сервер сложнее и передать незишифрованный пароль практически нереально.

 

То есть в пионернете РРТР будет безопасней.И я думаю, не только у меня такой провайдер, так что в целом по стране тоже актуально.

Відредаговано 2013-05-30 13:13:41 PPPoE

[madf 279]

...

 

На деле используют то, что прикажет сервер.Поэтому в пионернете c сервером-ловушкой РРРоЕ ниразу не защищен.В отличии от РРТР, где выдать себя за легитимный сервер сложнее и передать незишифрованный пароль практически нереально.

 

То есть в пионернете РРТР будет безопасней.И я думаю, не только у меня такой провайдер, так что в целом по стране тоже актуально.

Если я правильно помню, можно затребовать использование MSCHAP2 и не коннектиться к серверу который его не умеет.

[PPPoE 8]

Можно то можно.Но никто из среднестатистических посетителей вконтакте этого не делает)) О том то и речь.Остаётся ждать, когда мелкософт и производители роутеров выключат РАР по-умолчанию.А они это наврятли сделают.

[Гайджин 574]

Ипануться в пень башкой, а на дворе 2013й год....

[nightfly 1 221]

Не все в курсе.

[PPPoE 8]

Я тоже так подумал, когда увидел, как они работают.Но сеть строилась почти 10 лет назад мелким региональным провайдером так что не удивительно.

[NiTr0 583]

Адептам PPTP - задачка: сколько пптп туннель выжмет мбит на каком-то 2-головом пеньке по 2ггц на голову? Учитывая, что в виндах пптп крутится в юзерленде, в отличие от л2тп/пппое?

О л2тп - это отдельная, печальная песня для владельцев роутеров...

[Володя 12]

Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важно

[madf 279]

Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важно

Сейчас надо не на PPPoE переходить а на IPoE.

[Володя 12]

Частный сектор постоен на тупых свичах. Это ж не безопасно?

[KaYot 3 606]

Адептам PPTP - задачка: сколько пптп туннель выжмет мбит на каком-то 2-головом пеньке по 2ггц на голову? Учитывая, что в виндах пптп крутится в юзерленде, в отличие от л2тп/пппое?

О л2тп - это отдельная, печальная песня для владельцев роутеров...

Вопрос скорее в том, сколько выдаст какой-нить dir-300 на pptp. И как потом объяснять клиенту что его роутер говно, если у конкурента он вполне нормально работает.

[PPPoE 8]

Начинаю переходить с pptp на pppoe. Легче настраивать, некоторые устройства не поддерживают pptp, а для меня это важно

А может оба сразу? У нас раньше так и было.Только год назад РРТР убрали.