catnip_grower 8 мая 2020 в 05:00

Разбираемся в VPN протоколах

8 мин

213K

Блог компании Digital SecurityИнформационная безопасность*

+16

Комментарии 16

homya4ok 8 мая 2020 в 07:41

PPTP использует порт 1723 для управляющего соединения; данные инкапсулируются в GRE тоннель. Из-за этого раньше необходимо было дополнительно настраивать фаерволлы. Как сейчас обстоят дела, не знаю.

DaemonGloom 8 мая 2020 в 09:11

Ничего не изменилось, это же его основа. Во многих местах его не настроить из-за этого, кстати. Например, не получится это сделать в Google Cloud Engine.

maxzhurkin 8 мая 2020 в 12:57

Нет, как раз «не настроить» не из-за «основы» (1723 TCP), через которую передаются только служебные данные, а из-за GRE, который находится на том же уровне TCP/IP, что и TCP, UDP или ICMP, и через который как раз идут передаваемые данные и та часть служебных, по передаче которых PPP (PPTP это, фактически, модифицированный PPP) производит самодиагностику (незаменимая часть протокола времён Dial-Up)
Резюмирую: без GRE, который не упомянут в статье, PPTP работать не будет и скорее именно эту часть следует называть основой.
Справедливости ради, без 1723 TCP PPTP тоже не будет работать

DaemonGloom 8 мая 2020 в 13:51

Я имел ввиду, что основа PPTP в том, что он состоит из двух частей всегда. GRE и control.
В том же Google Cloud Engine как раз gre невозможно настроить (режется самим гуглом), с управляющим соединением нет проблем. Но PPTP в итоге не заработает.

Ermito 8 мая 2020 в 08:02

Wireguard тоже есть на маршрутизаторах (Openwrt)

IRT 8 мая 2020 в 08:16

Более того, с помощью wireguard-go его можно запустить даже на роутерах со старым ядром 2.6, например, Asus AC-68U, куда OpenWRT нельзя поставить из-за недостаточной поддержки Broadcom. Нужна лишь возможность установки пакетов Entware.

empenoso 8 мая 2020 в 09:53

А WireGuard есть на Mikrotik?

Tagar 8 мая 2020 в 10:03

Нет, и вряд ли, в ближайшем будущем, будет.

be52 10 мая 2020 в 14:40

Почему нет, там же всего 4т строк адаптировать или переписать с нуля надо Ж)

Tagar 10 мая 2020 в 17:09

Нет — потому, что нет. Когда перепишут с нуля всего 4т строк или их адаптируют — тогда будет.

farcaller 8 мая 2020 в 09:42

Internet Key Exchange version 2 (IKEv2) — это туннельный протокол

Вы хоть сами RFC по ссылке читали?..

catnip_grower 8 мая 2020 в 15:49

Действительно, некорректная формулировка. Поправили, спасибо.

sohmstyle 8 мая 2020 в 10:57

Добавлю, что есть отличная статья на Хабре, иллюстрирующая типы и некоторые виды VPN — Поговорим о VPN-ах? Типы VPN соединений. Масштабирование VPN

Если бы можно было, то дополнили бы материал схемой с новыми видами VPN и тем, на базе каких underlay и overlay технологиях всё это используется, site-to-site или remote-access, было бы здорово.

НЛО прилетело и опубликовало эту надпись здесь

rajven 10 мая 2020 в 21:39

А просто кроме OpenVPN это никто не поддерживает. Вообще — боле чем странно, что никто не озаботился такой простой опцией, как отдать маршруты клиенту. Так что openvpn по-прежнему вне конкуренции, если надо подключать юзеров. Wireguard — соединять серверную инфраструктуру. SSTP мог бы потеснить openvpn, но… где, где маршрутизация клиенту?! А l2tp+ipsec — традиционные проблемы с натом или зафильтрованными сетями делают проблемным его использование.

YourChief 8 мая 2020 в 19:56

Вся статья соткана из ошибок.

Point-to-Point Tunneling Protocol (PPTP) — один из старейших VPN протоколов, используемых до сих пор. Работает на TCP-порту 1723, изначально был разработан компанией Microsoft.

Как уже выше отметили, в роли транспорта там выступает GRE-туннель, внутри которого идут PPP-кадры. На 1723/tcp только управляющее соединение. Само использование GRE-туннеля имеет серьёзные последствия: из сети с NAT к одному серверу сможет одновременно подключиться только один клиент.

С точки зрения производительности SSTP работает быстро, стабильно и безопасно. К сожалению, очень немногие VPN провайдеры поддерживают SSTP.

На практике медленнее всех из-за передачи кадров PPP внутри TCP — это приводит к двойным ретрансмитами при потере пакетов.

В отличие от SSL, который работает на прикладном уровне, IPsec работает на сетевом уровне и может использоваться нативно со многими операционными системами, что позволяет использовать его без сторонних приложений (в отличие от OpenVPN).

IPsec может работать и на сетевом, и на транспортном уровне. Тот же L2TP/IPsec использует IPsec в транспортном режиме.

У протокола L2TP иногда возникают проблемы из-за использования по умолчанию UDP-порта 500, который, как известно, блокируется некоторыми брандмауэрами.

Порт 500/udp — это порт IKE и относится он к ипсеку, а не к L2TP.

Однако L2TP/IPsec инкапсулирует передаваемые данные дважды, что делает его менее эффективным и более медленным, чем другие VPN-протоколы.

Однако, практическая скорость будет выше, чем у SSTP или OpenVPN в режиме TCP.

По сводной таблице — где-то процентов 25 неточно.

Честно говоря, материал выглядит как школьный реферат. Одни общие фразы, компиляция из обзоров технологий без отражения сути и ключевых различий.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий