https://www.opennet.me/openforum/vsluhforumID10/4943.html Добрый день.<br><br>Столкнулся с проблемой. Есть необходимость подключения некоторых клиентов к VPN серверу через Интернет, для доступа на единственный хост в нашей подсети.<br>Сейчас клиенты подключаются через OpenVPN, но это немного проблематично - ставить на Win машины клиента OpenVPN и раздавать настройки с ключами.<br><br>Для упрощения настроек у клиента решено использовать дополнительно PPTP, т.к. клиент встроен у всех win по умолчанию, на сервере OpenBSD развернул пакет poptop, поднял pptpd. Настройки тривиальные из мануала:<br><br>cat /etc/ppp.conf<br>default: <br> set log Phase Chat LCP IPCP CCP tun command <br> disable ipv6cp <br> <br>pptp: <br> enable MSChapV2 <br> set mppe 128 stateless https://www.opennet.me/openforum/vsluhforumID10/4943.html#22 Thu, 30 Jun 2016 03:21:33 GMT &gt;&gt; Чтобы использовать дырявый PPTP в 2016 нужно быть клиническим идиотом с точки <br>&gt;&gt; зрения информационной безопасности.<br>&gt; Это безосновательное оскорбление довольно большого числа людей, которым необходимо использовать <br>&gt; данный вид VPN. Да, в PPP протоколе есть уязвимости, но <br>&gt; также они закрываются правильной конфигурацией данного протокола. Так что уровень <br>&gt; риска падает до приемлемого.<br>&gt; Чтобы не быть голословным, давайте я Вам дам адрес VPN сервера работающего <br>&gt; по PPTP, а вы мне покажите, что он дырявый, послав хотя <br>&gt; бы один пакет внутрь сети? :) <br><br>Эм, а какие уязвимости есть в PPP протоколе? Или вы про аутентификацию?<br> https://www.opennet.me/openforum/vsluhforumID10/4943.html#21 Wed, 25 May 2016 09:05:18 GMT &gt; Чтобы использовать дырявый PPTP в 2016 нужно быть клиническим идиотом с точки <br>&gt; зрения информационной безопасности.<br><br>Это безосновательное оскорбление довольно большого числа людей, которым необходимо использовать данный вид VPN. Да, в PPP протоколе есть уязвимости, но также они закрываются правильной конфигурацией данного протокола. Так что уровень риска падает до приемлемого.<br><br>Чтобы не быть голословным, давайте я Вам дам адрес VPN сервера работающего по PPTP, а вы мне покажите, что он дырявый, послав хотя бы один пакет внутрь сети? :)<br> https://www.opennet.me/openforum/vsluhforumID10/4943.html#20 Mon, 23 May 2016 10:35:21 GMT <br>&gt; А если нет доступа к настройке клиента ?<br><br>Чтобы использовать дырявый PPTP в 2016 нужно быть клиническим идиотом с точки зрения информационной безопасности.<br> https://www.opennet.me/openforum/vsluhforumID10/4943.html#19 Thu, 19 May 2016 08:33:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Вообще как-то можно при подключении PPTP к серверу, раздать клиенту только один <br>&gt;&gt; нужный маршрут, как это делается на openvpn, напр., push "route 10.1.2.30 <br>&gt;&gt; 255.255.255.255"?<br>&gt; Открою вам страшную тайну (только тс-с-с! ниому ни слова, а то сейчас <br>&gt; коршуны налетят и заклюют!) - МОЖНО! (шепотом) <br>&gt; ))) <br>&gt; Вы делаете все правильно, а вашу команду для винды, где вы добавляете <br>&gt; нужный вам маршрут (route add) закиньте в cmd или bat и <br>&gt; в автозагрузку. Или задать с ключиком -p <br>&gt; route /? попробуйте.<br><br>А если нет доступа к настройке клиента ?<br><br> https://www.opennet.me/openforum/vsluhforumID10/4943.html#18 Wed, 13 Feb 2013 23:00:26 GMT &gt;&gt; Иногда так умиляют люди, которые не имея опыта (или времени почитать стандарты) <br>&gt;&gt; категорично заявляют вещи о которых понятия не имеют :)) <br>&gt; Так пишут люди, которые слышали звон да не знают где он :) <br>&gt; Что бы разрешить спор (думаю так будет правильнее всего) приведите сюда ваши <br>&gt; настройки на которых всё работает и при этом виндовый клиент при <br>&gt; подключении получает нужные маршруты.<br>&gt; А бросать ссылки и уходить от первоначальной темы - для этого большого <br>&gt; ума не надо.<br>&gt; ПС. Без приведённых практических примеров доказывать что это возможно - просто троллить. <br><br>#dhcpd --version<br>isc-dhcpd-4.2.4-P2 <br><br>сборка из исходников.<br><br>...<br>###<br>### define options for MS and RFC3442 classlesss routes<br>###<br><br>option ms-classless-routes code 249 = array of unsigned integer 8;<br>option rfc3442-classless-routes code 121 = array of unsigned integer 8;<br><br>subnet 192.168.0.0 netmask 255.255.255.0 {<br> interface eth1;<br><br> option routers 192.168.0.1;<br> option domain-name-servers 192.168.0.1;<br> option https://www.opennet.me/openforum/vsluhforumID10/4943.html#17 Wed, 13 Feb 2013 22:54:02 GMT &gt; Передать роутинг посредством pptp - нельзя. Это может только openvpn.<br><br>зато можно ч/з dhcp - это вроде в теме вопроса, раз там все "на автомате"<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/4943.html#16 Wed, 13 Feb 2013 10:25:57 GMT &gt;&gt; Может стоит запускать от имени администратора? Не раз сталкивался с похожим, даже <br>&gt;&gt; при отключении UAC.<br>&gt; Пробовал - не помогает. Ещё заметил, что ipconfig /all говорит, "DHCP: Нет". <br><br>Администратор не нужен. Это нормально, что ipconfig /all говорит "DHCP: No" на этот линк - у меня тоже самое.<br><br>Проверьте, что в настройках Вашего соединения -&gt; Networking -&gt; Internet Protocol Version 4 (TCP/IPv4) -&gt; Properties -&gt; Advanced -&gt; IP Settings: сняты галочки с 'Use default gateway on remote network' и 'Disable class based route addition'. Если стоит первая - маршруты игнорируются, так как это и так маршрут по умолчанию, если стоит вторая, то маршруты игнорируются так как Вы сами сказали их игнорировать :).<br><br>Прилагаю немного дампов для того, чтобы некоторые люди не спрашивали больше про ROUTE PRINT и подобное:<br><br>C:\Users\galaxy&gt;whoami /priv<br><br>PRIVILEGES INFORMATION<br>----------------------<br><br>Privilege Name Description State<br>============================= ========= https://www.opennet.me/openforum/vsluhforumID10/4943.html#15 Wed, 13 Feb 2013 09:52:08 GMT &gt;&gt; Вы оказались правы :) Ещё вычитал, что винда иногда не понимает опцию <br>&gt;&gt; 121, поэтому стоит применять 249. В остальном - очень хорошо. Признаюсь, <br>&gt;&gt; не знал о таких возможностях pptp.<br>&gt; Он оказался не прав.<br><br>Это почему же? :) Потому что Вам просто так хочется?<br><br>&gt; Где таблица route print клиента после авторизации?<br><br>Если бы в тот момент, когда я решил потратить на описание свое время кто-нибудь спросил, я бы предоставил. Просто я считал, что мы не малые дети и не нужно уж совсем банальные вещи постить. Конечно же, все маршруты выставляются клиентом, иначе бы смысла во всем этом не было бы.<br><br>&gt; Зачем пихать маршруты к сетям 70, 75 и 10.0.0.0 в туннель, если <br>&gt; они и так туда по-умолчанию пойдут?<br><br>С какой радости они туда пойдут? VPN поднимается на клиенте без default route на этот туннель - иначе мы лишим клиента нормального доступа в инет. Особенно это актуально, если клиент поключается сразу к нескольким VPN серверам.<br><br>&gt; Наличие dnsmasq совершенно не нужно для того, чтобы засунуть сети вн https://www.opennet.me/openforum/vsluhforumID10/4943.html#14 Tue, 12 Feb 2013 10:48:10 GMT &gt; Вы оказались правы :) Ещё вычитал, что винда иногда не понимает опцию <br>&gt; 121, поэтому стоит применять 249. В остальном - очень хорошо. Признаюсь, <br>&gt; не знал о таких возможностях pptp.<br><br>Он оказался не прав.<br><br>Где таблица route print клиента после авторизации?<br><br>Apr 24 12:46:44 vpn accel-pppd: ppp0:: connect: ppp0 &lt;--&gt; pptp(121.201.149.246)<br>Apr 24 12:46:48 vpn accel-pppd: ppp0:ariadna: ariadna: authentication successed<br><br>Зачем пихать маршруты к сетям 70, 75 и 10.0.0.0 в туннель, если они и так туда по-умолчанию пойдут?<br><br>Наличие dnsmasq совершенно не нужно для того, чтобы засунуть сети внутрь туннеля.<br><br>А вот вытащить их из туннеля - другое дело.<br>